第 1 章概述

2022年10月19日，中测安华必达实验室发现Apache披露了名为“Apache Dubbo 远程代码执行漏洞”的高风险漏洞，攻击者可利用该漏洞通过构造特定请求在目标服务器上执行恶意代码。中测安华必达实验室从该漏洞的基本信息、漏洞影响、修复情况等多方面信息初步研判，该漏洞危害风险较高影响较大，提醒用户及时采取消控措施。

第 2 章漏洞分析

2.1 漏洞信息概要

漏洞名称	Apache Dubbo 远程代码执行漏洞
漏洞编号	CNNVD编号：暂无 CNVD编号：暂无 CVE编号：CVE-2022-39198
漏洞类型	代码执行
危害等级	危害等级：高危 CVSS 3.0：8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
相关厂商	Apache
受影响产品	Apache Dubbo
厂商修复情况	厂商已修复

注：漏洞类型与危害等级参考[信息安全技术安全漏洞分类 GB/T 33561-2017]

2.2 漏洞详情描述

Apache Dubbo是一款微服务框架，为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案，涵盖Java、Golang等多种语言 SDK 实现。

在Apache Dubbo中发现了一个高危漏洞。受此问题影响的是未知功能。对未知输入的操作会导致权限提升漏洞。应用程序会反序列化不受信任的数据，而无需充分验证生成的数据是否有效。受影响的是机密性、完整性和可用性。

2.3 漏洞影响评估

2.3.1 受影响产品范围

hessian-lite <= 3.2.12

Apache Dubbo 2.7.x <= 2.7.17

Apache Dubbo 3.0.x <= 3.0.11

Apache Dubbo 3.1.x <= 3.1.0

2.3.2 漏洞危害评估

根据Oracle官方信息，远程攻击者成功利用该漏洞后可导致代码执行。中测安华必达实验室尚未发现针对该漏洞的利用工具。中测安华必达实验室对该漏洞影响情况评估后认为，相关漏洞极有可能存在被攻击者进一步利用的风险。鉴于使用Apache Dubbo产品的用户群体较大，建议尽快去Apache官方网站下载升级补丁或更新至安全版本。

中测安华必达实验室将持续对此漏洞开展分析，及时更新相关信息，并通告提醒用户。