Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危
MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广

漏洞危害

OSCS 描述
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
受影响版本中,由于 ObjectInput.java 文件中 readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者可能利用该特性执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dubbo:dubbo [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo 升级至 3.2.4 及以上版本
org.apache.dubbo:dubbo [3.1.0, 3.1.11) 升级 将 org.apache.dubbo:dubbo 升级至 3.1.10 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo-serialization-api 升级至 3.2.5 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.1.0, 3.1.11) 升级 将组件 org.apache.dubbo:dubbo-serialization-api 升级至 3.1.11 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9469

https://nvd.nist.gov/vuln/detail/CVE-2023-29234

https://github.com/apache/dubbo/commit/9ae97ea053dad758a0346a9acda4fbc8ea01429a

https://www.openwall.com/lists/oss-security/2023/12/15/2

(0)
上一篇 2023年12月18日 下午12:00
下一篇 2023年12月18日 下午12:00

相关推荐

  • JumpServer 命令绕过漏洞 (CVE-2023-48193)

    漏洞类型 授权机制不恰当 发现时间 2023-11-29 漏洞等级 中危 MPS编号 MPS-20vd-8lzy CVE编号 CVE-2023-48193 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 受影响版本中,当JumpServer在设置命令过滤功能时,攻击者可以通过将过滤后的命令保存在一个.sh 脚本中,直接…

    2023年11月29日
    0
  • Cacti<1.2.25 权限升级漏洞 (CVE-2023-31132)

    漏洞类型 关键功能的认证机制缺失 发现时间 2023-09-06 漏洞等级 高危 MPS编号 MPS-j24s-h9mc CVE编号 CVE-2023-31132 漏洞影响广度 小 漏洞危害 OSCS 描述 Cacti 是一个开源的操作监控和故障管理框架。 由于受影响版本的 Cacti 允许在 Web 目录中创建和执行 PHP 文件,当 Windows 系统…

    2023年9月11日
    0
  • IoTDB 存在远程代码执行漏洞 (CVE-2023-46226)

    漏洞类型 表达式语言注入 发现时间 2024-01-15 漏洞等级 中危 MPS编号 MPS-c4ml-t1ka CVE编号 CVE-2023-46226 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。JEXL是一个表达式语言引擎,全称是Java表达式语言(Java …

    2024年1月17日
    0
  • minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106)

    漏洞类型 堆缓冲区溢出 发现时间 2023-11-23 漏洞等级 高危 MPS编号 MPS-7wpn-d9ve CVE编号 CVE-2023-48106 漏洞影响广度 小 漏洞危害 OSCS 描述 minizip-ng 是一个开源的压缩库,用于创建和解压ZIP格式文件。 minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resol…

    2023年11月23日
    0
  • vCenter Server 远程代码执行漏洞 (CVE-2023-34048)

    漏洞类型 越界写入 发现时间 2023-10-26 漏洞等级 严重 MPS编号 MPS-b28s-4xal CVE编号 CVE-2023-34048 漏洞影响广度 一般 漏洞危害 OSCS 描述 vCenter Server是一种虚拟化管理软件,用于集中管理和监控VMware虚拟化环境中的多个虚拟机和主机。DCERPC协议是一种远程过程调用协议,能使处于同一…

    2023年10月26日
    0