CVE-2020-11995

Versões do Apache Dubbo anteriores à 2.6.9 e à 2.7.8

Existia uma vulnerabilidade de desserialização no Apache Dubbo, que poderia levar à execução de código malicioso. A maioria dos usuários do Dubbo utiliza o Hessian2 como protocolo padrão de serialização/desserialização. Durante a desserialização do objeto HashMap pelo Hessian2, algumas funções nas classes armazenadas no HashMap serão executadas após uma série de chamadas de programa; no entanto, essas funções especiais podem causar a execução remota de comandos. Por exemplo, a função hashCode() da classe EqualsBean no rome-1.7.0.jar causará o carregamento remoto de classes maliciosas e executará código malicioso ao construir uma solicitação maliciosa.

Para versões do Apache Dubbo anteriores à 2.6.9, atualize para a versão 2.6.9 ou posterior.

Para versões do Apache Dubbo anteriores à 2.7.8, atualize para a versão 2.7.8 ou posterior.

Como solução temporária, considere desativar a função hashCode() da classe EqualsBean no rome-1.7.0.jar até que um patch esteja disponível.

Restrinja o acesso ao protocolo de desserialização Hessian2 para minimizar o risco de exploração.

Evite usar o objeto HashMap no endpoint da API afetado até que o problema seja resolvido.