一 漏洞概述

2020年6月22日，Apache Dubbo官方披露了Provider默认反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可构造恶意请求执行任意代码。

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)会影响所有使用2.7.6或更低版本的Dubbo用户，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，它将执行一些恶意代码。

二 影响版本

Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions (官方已不再提供支持)

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索，共得到 172,402,615 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

目前官方已发布漏洞修复版本，建议尽快更新到安全版本。建议升级前做好备份，避免出现意外。

下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

六 时间线

官方发布漏洞风险通告时间：2020年6月22日

知道创宇发布漏洞情报时间：2020年6月23日

七 相关链接

Apache Dubbo：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22