Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架， 提供了六大核心能(néng)力：面(miàn)向(xiàng)接口代理的高性能(néng)RPC調用，智能(néng)容錯和負載均衡，服務自動注冊和發(fā)現，高度可擴展能(néng)力，運行期流量調度，可視化的服務治理與運維。2021年6月24日，國(guó)外安全研究人員披露Apache Dubbo多個高危漏洞詳情

2020年6月29日，武漢雲之巅監測到Apache Dubbo GitHub官方發(fā)布Pull requests修複了CVE-2020-1948漏洞補丁被(bèi)繞過(guò)現象，Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方還(hái)未發(fā)布新版本，漏洞屬0day級，風險極大。 漏洞描述 Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個反序列化遠程代碼執行漏洞（CVE-2020-1948），…

3月7日，國(guó)家信息安全漏洞共享平台（CNVD）收錄了杭州安恒信息技術有限公司發(fā)現的Apache struts2 S2-045遠程代碼執行漏洞（CNVD-2017-02474，對(duì)應CVE-2017-5638），遠程攻擊者利用該漏洞可直接取得網站服務器控制權。由該應用較爲廣泛，且攻擊利用代碼已經(jīng)公開(kāi)，已導緻互聯網上大規模攻擊的出現。 一、漏洞情況分析 Struts2是第二代基于Model-View-Controller(MVC)模型的java企業級web應用框架，并成(chéng)爲當時國(guó)内外較爲流行的容器軟件中…