关于apache dubbo远程代码执行漏洞（cve-7411威尼斯

一、漏洞详情

apache dubbo是一款高性能、轻量级的开源服务框架。

apache dubbo发布安全公告，dubbo hessian-lite 3.2.11及之前版本中存在反序列化漏洞（cve-2021-43297），该漏洞能够导致远程执行任意代码。大多数dubbo用户使用hessian2作为默认的序列化/反序列化协议，在hessian捕捉到异常时，hessian会注销用户的一些信息，这可能导致远程命令执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

apache dubbo 2.6.x < 2.6.12

apache dubbo 2.7.x < 2.7.15

apache dubbo 3.0.x < 3.0.5

三、修复建议

目前此漏洞已经修复，建议受影响用户及时升级更新到以下版本：

dubbo 2.6.x：升级到2.6.12

dubbo 2.7.x：升级到2.7.15

dubbo 3.0.x：升级到3.0.5

下载链接：https://dubbo.apache.org/en/blog/2020/05/18/past-releases/