Apache Dubbo 3.1.5 反序列化漏洞 (CVE-2023-46279)

漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 严重
MPS编号 MPS-k3ml-xyci CVE编号 CVE-2023-46279 漏洞影响广度 广

漏洞危害

OSCS 描述
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,addToAllow方法未正确过滤黑名单的类,攻击者可能绕过黑名单限制,反序列化任意类,从而远程执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-k3ml-xyci

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dubbo:dubbo [3.1.5, 3.1.6) 升级 将 org.apache.dubbo:dubbo 升级至 3.1.6 及以上版本
org.apache.dubbo:dubbo-common [3.1.5, 3.1.6) 升级 将 org.apache.dubbo:dubbo-common 升级至 3.1.6 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-k3ml-xyci

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-k3ml-xyci

https://nvd.nist.gov/vuln/detail/CVE-2023-46279

http://www.openwall.com/lists/oss-security/2023/12/15/3

https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo

https://github.com/apache/dubbo/commit/84c1c35aaeca5a917e49c1184d19435416c11a78

https://github.com/apache/dubbo/commit/c71a05a58c9db46638417cc6ecee32be5508d92c

(0)
上一篇 2023年12月14日 下午12:00
下一篇 2023年12月18日 下午12:00

相关推荐

  • Kubernetes Windows node 命令注入漏洞 (CVE-2023-5528)

    漏洞类型 输入验证不恰当 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-wtbu-j6l2 CVE编号 CVE-2023-5528 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的平台。kubelet是Kubernetes用于运行节点上容器的代理组件(node agent)。…

    2023年11月16日
    0
  • Telegram Windows客户端可执行文件限制不当RCE漏洞 (MPS-38wf-ilyv)

    漏洞类型 不完整的黑名单 发现时间 2024-04-13 漏洞等级 高危 MPS编号 MPS-38wf-ilyv CVE编号 – 漏洞影响广度 小 漏洞危害 OSCS 描述 Telegram是提供开源客户端的跨平台即时通信软件。 在其客户端中通过黑名单限制Windows下可执行文件后缀,由于黑名单列表错误拼写了python zipapp后缀pyz…

    漏洞 2024年4月15日
    0
  • VMware Aria Operations SSH 身份验证绕过漏洞 (CVE-2023-34039)

    漏洞类型 身份验证不当 发现时间 2023-08-30 漏洞等级 严重 MPS编号 MPS-d9wr-56qm CVE编号 CVE-2023-34039 漏洞影响广度 广 漏洞危害 OSCS 描述 VMware Aria Operations for Networks 是 VMware 公司提供的一款网络可视性和分析工具,用于优化网络性能或管理各种VMwar…

    2023年9月1日
    0
  • Apache Kafka ACL配置错误漏洞 (CVE-2024-27309)

    漏洞类型 权限管理不当 发现时间 2024-04-12 漏洞等级 高危 MPS编号 MPS-pyb8-l75n CVE编号 CVE-2024-27309 漏洞影响广度 广 漏洞危害 OSCS 描述 Kafka 是 Apache 软件基金会的一种分布式的、基于发布/订阅的消息系统。 Apache Kafka在从ZooKeeper模式迁移到KRaft模式时存在A…

    漏洞 2024年4月15日
    0
  • Sudo <1.9.15 故障注入导致权限提升漏洞 (CVE-2023-42465)

    漏洞类型 非预期数据类型处理不恰当 发现时间 2023-12-23 漏洞等级 中危 MPS编号 MPS-03xh-sirc CVE编号 CVE-2023-42465 漏洞影响广度 广 漏洞危害 OSCS 描述 Sudo 是一款使用于类Unix系统的,允许用户通过安全的方式使用特殊的权限执行命令的程序。 Sudo 1.9.15 之前的版本存在绕过认证或特权升级…

    2023年12月26日
    0