PT-2021-18653 · Apache · Apache Dubbo
Publicado
2021-05-31
·
Atualizado
2022-03-18
·
CVE-2021-30179
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Dubbo anteriores à 2.6.9 e à 2.7.9
Descrição
A vulnerabilidade permite chamadas genéricas a métodos arbitrários expostos pelas interfaces de provedores. Essas invocações são tratadas pelo
GenericFilter, que utiliza a API Java Reflection para efetuar a chamada final. Os métodos invoke ou invokeAsync possuem uma assinatura que inclui o nome do método, os tipos de parâmetros e os argumentos reais da chamada. Um invasor pode controlar o anexo RPC, definindo-o como nativejava para forçar a desserialização Java de uma matriz de bytes, o que pode levar à exploração.Recomendações
Para versões do Apache Dubbo anteriores à 2.6.9, atualize para a versão 2.6.9 ou posterior.
Para versões do Apache Dubbo anteriores à 2.7.9, atualize para a versão 2.7.9 ou posterior.
Como solução alternativa temporária, considere restringir os valores do anexo RPC para impedir que seja definido como
nativejava até que um patch esteja disponível.Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Dubbo