Apache Dubbo是一款高性能、轻量级的开源java RPC分布式服务框架。

近日，我团队监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情；其漏洞详情如下：

CVE-2021-25641 Apache Dubbo Hessian2 协议反序列化漏洞

漏洞类型: 协议反序列化漏洞

简述: 攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。

CVE-2021-30179 Apache Dubbo Generic filter 远程代码执行漏洞

漏洞类型: 远程代码执行

简述: Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。

CVE-2021-32824 Apache Dubbo Telnet handler 远程代码执行漏洞

漏洞类型: 远程代码执行

简述: Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。

CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞

漏洞类型: 反序列化漏洞

简述: Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。

CVE-2021-30181 Apache Dubbo Nashorn 脚本远程代码执行漏洞

漏洞类型: 脚本远程代码执行

简述: 攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本，造成远程代码执行。

受影响版本

Apache Dubbo < 2.7.10
Apache Dubbo < 2.6.10

安全版本

Apache Dubbo 2.7.10
Apache Dubbo 2.6.10