Apache Dubbo 反序列化漏洞 (CVE-2023-29234)

漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 中危
MPS编号 MPS-2023-9469 CVE编号 CVE-2023-29234 漏洞影响广度 广

漏洞危害

OSCS 描述
Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。
受影响版本中,由于 ObjectInput.java 文件中 readThrowable 方法在处理异常时对反序列化后的对象进行了字符串拼接操作,导致会隐式调用对象的toString方法,攻击者可能利用该特性执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.dubbo:dubbo [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo 升级至 3.2.4 及以上版本
org.apache.dubbo:dubbo [3.1.0, 3.1.11) 升级 将 org.apache.dubbo:dubbo 升级至 3.1.10 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.2.0, 3.2.5) 升级 将 org.apache.dubbo:dubbo-serialization-api 升级至 3.2.5 及以上版本
org.apache.dubbo:dubbo-serialization-api [3.1.0, 3.1.11) 升级 将组件 org.apache.dubbo:dubbo-serialization-api 升级至 3.1.11 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-2023-9469

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-2023-9469

https://nvd.nist.gov/vuln/detail/CVE-2023-29234

https://github.com/apache/dubbo/commit/9ae97ea053dad758a0346a9acda4fbc8ea01429a

https://www.openwall.com/lists/oss-security/2023/12/15/2

(0)
上一篇 2023年12月18日 下午6:00
下一篇 2023年12月20日 下午12:00

相关推荐

  • Gofiber 存在CORS凭证泄露漏洞 (CVE-2024-25124)

    漏洞类型 过度许可的跨域白名单 发现时间 2024-02-22 漏洞等级 严重 MPS编号 MPS-qoe4-atu2 CVE编号 CVE-2024-25124 漏洞影响广度 广 漏洞危害 OSCS 描述 Gofiber 是一个基于Go语言的轻量级web框架。 受影响版本中,Web应用中的CORS中间件允许不安全的配置(例如:同时设置Access-Contr…

    2024年2月22日
    0
  • Google Chrome<120.0.6099.199 存在释放后使用漏洞 (CVE-2024-0222)

    漏洞类型 UAF 发现时间 2024-01-04 漏洞等级 高危 MPS编号 MPS-ler0-8tok CVE编号 CVE-2024-0222 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是 Google 公司开发的网页浏览器。ANGLE 是 Google Chrome 中用于提供图形API的库,包括 OpenGL ES 和 V…

    2024年1月5日
    0
  • Apache Storm File.createTempFile 创建文件权限错误 (CVE-2023-43123)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-23 漏洞等级 低危 MPS编号 MPS-dj38-h2yb CVE编号 CVE-2023-43123 漏洞影响广度 一般 漏洞危害 OSCS 描述 Storm 是一个分布式实时计算系统。Storm 提供一组用于执行实时计算的通用原语。 受影响版本中,Storm中使用File.createTempFil…

    2023年11月23日
    0
  • Apache Camel ExchangeCreatedEvent 信息泄漏 (CVE-2024-22371)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-02-27 漏洞等级 低危 MPS编号 MPS-ar0g-otwm CVE编号 CVE-2024-22371 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Camel 是开源的系统间数据交互集成框架。EventFactory是Apache Camel中的一个组件,用于创建和发布事件。 由于未对 E…

    2024年2月27日
    0
  • Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

    漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危 MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于 MySQLSensitiveUrlUtils…

    漏洞 2024年5月10日
    0