Vulnerabilidad en Apache Dubbo (CVE-2021-32824)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
03/01/2023
Última modificación:
10/01/2023
Descripción
Apache Dubbo es un framework RPC de código abierto basado en Java. Las versiones anteriores a 2.6.10 y 2.7.10 son vulnerables a la ejecución remota de código previo a la autenticación mediante manipulación arbitraria de beans en el controlador Telnet. El puerto de servicio principal de Dubbo se puede utilizar para acceder a un controlador Telnet que ofrece algunos métodos básicos para recopilar información sobre los proveedores y los métodos expuestos por el servicio e incluso puede permitir cerrar el servicio. Este punto final no está protegido. Además, se puede invocar un método de proveedor utilizando el controlador `invoke`. Este controlador utiliza una versión segura de FastJson para procesar los argumentos de la llamada. Sin embargo, la lista resultante se procesa posteriormente con `PojoUtils.realize`, que puede usarse para crear instancias de clases arbitrarias e invocar a sus definidores. Aunque FastJson está protegido adecuadamente con una lista de bloqueo predeterminada, `PojoUtils.realize` no lo está, y un atacante puede aprovechar eso para lograr la ejecución remota de código. Las versiones 2.6.10 y 2.7.10 contienen correcciones para este problema.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* | 2.6.10 (excluyendo) | |
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.7.10 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página