简介

Apache Dubbo 是一个分布式服务框架，致力于提供高性能和透明化的RPC远程服务调用方案，以及SOA服务治理方案。简单的说，dubbo就是个服务框架，如果没有分布式的需求，其实是不需要用的，只有在分布式的时候，才有dubbo这样的分布式服务框架的需求，并且本质上是个服务调用的东东，说白了就是个远程服务调用的分布式框架（告别Web Service模式中的WSdl，以服务者与消费者的方式在dubbo上注册。功能包含（远程通讯、集群容错、自动发现）

腾讯安全玄武实验室研究员发现，该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，它将执行一些恶意代码。

风险等级

高风险

影响版本

• Apache Dubbo 2.7.0 ~ 2.7.6
• Apache Dubbo 2.6.0 ~ 2.6.7
• Apache Dubbo 2.5.x 所有版本

修复版本

Apache Dubbo 2.7.7及以上更高版本
修复地址: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

漏洞Email

https://lists.apache.org/thread.html/rd4931b5ffc9a2b876431e19a1bffa2b4c14367260a08386a4d461955%40%3Cdev.dubbo.apache.org%3E