Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危
MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广

漏洞危害

OSCS 描述
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
受影响版本中,由于 ObjectInput.java 文件中 readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者可能利用该特性执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dubbo:dubbo [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo 升级至 3.2.4 及以上版本
org.apache.dubbo:dubbo [3.1.0, 3.1.11) 升级 将 org.apache.dubbo:dubbo 升级至 3.1.10 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo-serialization-api 升级至 3.2.5 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.1.0, 3.1.11) 升级 将组件 org.apache.dubbo:dubbo-serialization-api 升级至 3.1.11 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9469

https://nvd.nist.gov/vuln/detail/CVE-2023-29234

https://github.com/apache/dubbo/commit/9ae97ea053dad758a0346a9acda4fbc8ea01429a

https://www.openwall.com/lists/oss-security/2023/12/15/2

(0)
上一篇 2023年12月18日 下午6:00
下一篇 2023年12月20日 下午12:00

相关推荐

  • BootCDN 投毒风险

    漏洞类型 内嵌恶意代码 发现时间 2023/6/20 漏洞等级 高危 MPS编号 MPS-zw9i-1xkb CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 BootCDN是免费的前端开源项目 CDN 加速服务,通过同步cdnjs仓库,提供了常用javascript组件的CDN服务。多个开发者发现在特定请求中(如特定Referer及…

    2023年8月30日
    0
  • Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危 MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 受影响版本中,由于 ObjectInput.java 文件中 readThrowable …

    2023年12月18日
    0
  • ZooKeeper SASL 身份验证绕过漏洞 (CVE-2023-44981)

    漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023-10-11 漏洞等级 高危 MPS编号 MPS-bznr-672x CVE编号 CVE-2023-44981 漏洞影响广度 一般 漏洞危害 OSCS 描述 ZooKeeper 是开源的分布式应用程序协调服务,数据树是指Apache ZooKeeper中存储数据的层次结构,SASL是一种用于进行身份验…

    2023年10月12日
    0
  • Vue.js Devtools 信息泄漏漏洞 (CVE-2023-5718)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-10-23 漏洞等级 中危 MPS编号 MPS-ufj7-8m52 CVE编号 CVE-2023-5718 漏洞影响广度 一般 漏洞危害 OSCS 描述 Vue.js Devtools 是一款用于 Vue.js 应用程序开发和调试的浏览器扩展工具。 扩展中没有正确验证和授权postMessage()消息的来源…

    2023年10月24日
    0
  • JumpServer 会话录像文件未授权访问漏洞 (CVE-2023-42442)

    漏洞类型 身份验证不当 发现时间 2023-09-18 漏洞等级 高危 MPS编号 MPS-ye5k-1v9i CVE编号 CVE-2023-42442 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,…

    2023年9月18日
    0