Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Dubbo (CVE-2021-32824)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
03/01/2023
Última modificación:
10/01/2023

Descripción

Apache Dubbo es un framework RPC de código abierto basado en Java. Las versiones anteriores a 2.6.10 y 2.7.10 son vulnerables a la ejecución remota de código previo a la autenticación mediante manipulación arbitraria de beans en el controlador Telnet. El puerto de servicio principal de Dubbo se puede utilizar para acceder a un controlador Telnet que ofrece algunos métodos básicos para recopilar información sobre los proveedores y los métodos expuestos por el servicio e incluso puede permitir cerrar el servicio. Este punto final no está protegido. Además, se puede invocar un método de proveedor utilizando el controlador `invoke`. Este controlador utiliza una versión segura de FastJson para procesar los argumentos de la llamada. Sin embargo, la lista resultante se procesa posteriormente con `PojoUtils.realize`, que puede usarse para crear instancias de clases arbitrarias e invocar a sus definidores. Aunque FastJson está protegido adecuadamente con una lista de bloqueo predeterminada, `PojoUtils.realize` no lo está, y un atacante puede aprovechar eso para lograr la ejecución remota de código. Las versiones 2.6.10 y 2.7.10 contienen correcciones para este problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* 2.6.10 (excluyendo)
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* 2.7.0 (incluyendo) 2.7.10 (excluyendo)


Referencias a soluciones, herramientas e información