Alertas

Vulnerabilidad de ejecución remota de código en APACHE Dubbo

El 10 de enero, Apache publicó un aviso de seguridad para corregir una vulnerabilidad de ejecución remota de código (CVE-2021-43297) en Dubbo. [1].
13 Jan 2022
1 Minutos de lectura

ANÁLISIS

Apache Dubbo es un marco RPC de alto rendimiento, basado en Java y de código abierto.

Debido a una vulnerabilidad de deserialización en hessian-lite de Dubbo, un atacante no autenticado podría explotar la vulnerabilidad para ejecutar remotamente código arbitrario en el sistema objetivo. La mayoría de los usuarios de Dubbo utilizan Hessian2 como protocolo de serialización/deserialización por defecto. Cuando Hessian capta una excepción, Hessian sacará alguna información del usuario, lo que puede llevar a la ejecución remota de comandos [2].

Versiones afectadas:

  • Apache Dubbo 2.6.x < 2.6.12
  • Apache Dubbo 2.7.x < 2.7.15
  • Apache Dubbo 3.0.x < 3.0.5

Versiones no afectadas:

  • Apache Dubbo = 2.6.12
  • Apache Dubbo = 2.7.15
  • Apache Dubbo = 3.0.5

RECOMENDACIONES

Actualmente, Apache Dubbo ha publicado una versión corregida para la vulnerabilidad CVE-2021-43297. El usuario debe actualizar Apache Dubbo a la versión no afectada.

 
REFERENCIAS
[1] CVE-2021-43297: APACHE Dubbo Remote Code Execution Vulnerability Alert (securityonline.info
[2] CVE-2021-43297: Apache Dubbo: Dubbo Hessian cause RCE when parse error-Apache Mail Archives 
 
371 visitas