Apache Dubbo组件介绍

Apache Dubbo是一款高性能、轻量级的开源Java RPC分布式服务框架。核心功能有面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现。其特点主要在以下几个方面。使用分层的架构模式，使得各个层次之间实现最大限度的解耦。将服务抽象为服务提供者与服务消费者两个角色。

漏洞描述

Apache Dubbo Provider 存在反序列化漏洞，攻击者可以通过RPC请求发送无法识别的服务名称或方法名称，并附带一些含有恶意参数的构造数据。当恶意参数被反序列化时，将会造成远程代码执行。

影响范围

目前受影响的Apache Dubbo版本：

Apache Dubbo 2.7.0 - 2.7.6

Apache Dubbo 2.6.0 - 2.6.7

Apache Dubbo 2.5.x

修复建议

官方发布的最新版本已经修复了此漏洞，请受影响的用户下载最新版本防御此漏洞。

下载链接：https://github.com/apache/dubbo/tree/master