Vulnerabilidad en Apache Dubbo (CVE-2021-32824)

Apache Dubbo es un framework RPC de código abierto basado en Java. Las versiones anteriores a 2.6.10 y 2.7.10 son vulnerables a la ejecución remota de código previo a la autenticación mediante manipulación arbitraria de beans en el controlador Telnet. El puerto de servicio principal de Dubbo se puede utilizar para acceder a un controlador Telnet que ofrece algunos métodos básicos para recopilar información sobre los proveedores y los métodos expuestos por el servicio e incluso puede permitir cerrar el servicio. Este punto final no está protegido. Además, se puede invocar un método de proveedor utilizando el controlador `invoke`. Este controlador utiliza una versión segura de FastJson para procesar los argumentos de la llamada. Sin embargo, la lista resultante se procesa posteriormente con `PojoUtils.realize`, que puede usarse para crear instancias de clases arbitrarias e invocar a sus definidores. Aunque FastJson está protegido adecuadamente con una lista de bloqueo predeterminada, `PojoUtils.realize` no lo está, y un atacante puede aprovechar eso para lograr la ejecución remota de código. Las versiones 2.6.10 y 2.7.10 contienen correcciones para este problema.