Vulnerabilidad en Dubbo Hessian-lite (CVE-2021-43297)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
10/01/2022
Última modificación:
18/01/2022
Descripción
Se presenta una vulnerabilidad de deserialización en Dubbo Hessian-lite versiones 3.2.11 y sus versiones anteriores, que podría conllevar a una ejecución de código malicioso. La mayoría de usuarios de Dubbo usan Hessian2 como el protocolo de serialización/deserialización por defecto, durante la captura de excepciones no esperadas de Hessian, Hessian sacará alguna información para usuarios, lo que puede causar una ejecución de comandos remotos. Este problema afecta a Apache Dubbo versiones 2.6.x anteriores a 2.6.12; Apache Dubbo versiones 2.7.x anteriores a 2.7.15; Apache Dubbo versiones 3.0.x anteriores a 3.0.5
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* | 2.6.0 (incluyendo) | 2.6.12 (excluyendo) |
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* | 2.7.0 (incluyendo) | 2.7.15 (excluyendo) |
cpe:2.3:a:apache:dubbo:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 3.0.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página