Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidad de ejecución remota de código en APACHE Dubbo

El 10 de enero, Apache publicó un aviso de seguridad para corregir una vulnerabilidad de ejecución remota de código (CVE-2021-43297) en Dubbo. [1].
13 Ene 2022

ANÁLISIS

Apache Dubbo es un marco RPC de alto rendimiento, basado en Java y de código abierto.

Debido a una vulnerabilidad de deserialización en hessian-lite de Dubbo, un atacante no autenticado podría explotar la vulnerabilidad para ejecutar remotamente código arbitrario en el sistema objetivo. La mayoría de los usuarios de Dubbo utilizan Hessian2 como protocolo de serialización/deserialización por defecto. Cuando Hessian capta una excepción, Hessian sacará alguna información del usuario, lo que puede llevar a la ejecución remota de comandos [2].

Versiones afectadas:

  • Apache Dubbo 2.6.x < 2.6.12
  • Apache Dubbo 2.7.x < 2.7.15
  • Apache Dubbo 3.0.x < 3.0.5

Versiones no afectadas:

  • Apache Dubbo = 2.6.12
  • Apache Dubbo = 2.7.15
  • Apache Dubbo = 3.0.5

RECOMENDACIONES

Actualmente, Apache Dubbo ha publicado una versión corregida para la vulnerabilidad CVE-2021-43297. El usuario debe actualizar Apache Dubbo a la versión no afectada.

 
REFERENCIAS
[1] CVE-2021-43297: APACHE Dubbo Remote Code Execution Vulnerability Alert (securityonline.info
[2] CVE-2021-43297: Apache Dubbo: Dubbo Hessian cause RCE when parse error-Apache Mail Archives 
 
Artículos relacionados
Vulnerabilidades en productos de Cisco 2025
Leer más →
Vulnerabilidades en SAP NetWeaver AS Java 2025
Leer más →
Vulnerabilidades en SureTriggers 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día