一、概要

近日华为云监测到Apache Dubbo披露了Provider的一个反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可发送特殊构造带有恶意参数负载的RPC请求，当恶意参数被反序列化时，将导致远程代码执行。

6月29日，华为云监测到Apache Dubbo GitHub上存在一个Pull requests，称其修复了Apache Dubbo Provider反序列化远程代码执行漏洞（CVE-2020-1948）补丁绕过，目前Apache Dubbo 2.7.7仍受该反序列化漏洞影响，官方暂未发布最新版本修复该漏洞，风险仍然存在。

 华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固。

详情请参考链接：

https://github.com/apache/dubbo/pull/6374

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Dubbo <= 2.7.7

四、漏洞处置

目前，官方暂未发布安全版本修复该漏洞，请受影响的用户参考以下方法进行风险临时规避，并留意官方新版本的发布。

规避措施：

1、将受影响的Dubbo升级到Dubbo 2.7.7，然后参考如下链接对DecodeableRpcInvocation增加入参类型校验

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de

2、禁止将Dubbo服务端端口对公网开放，或仅对可信IP开放。

受影响用户留意官方新版本发布，以便在新版本发布后及时升级到安全版本

Apache Dubbo 版本发布地址：https://github.com/apache/dubbo/releases

注：修复漏洞前请将资料备份，并进行充分测试。