一、基本情况

Apache Dubbo中存在未受信任数据反序列化漏洞，攻击者通过向系统发送恶意数据包并利用这些漏洞，导致远程命令执行，存在敏感信息泄露风险。

二、影响版本

Apache Dubbo反序列化漏洞(CVE-2023-46279)：

Apache Dubbo == 3.1.5

Apache Dubbo反序列化漏洞(CVE-2023-29234)：

Apache Dubbo 3.2.x <= 3.2.4

Apache Dubbo 3.1.x <= 3.1.10

三、处置建议

目前该厂商已有可更新版本，建议受影响用户升级至最新版本。

参考链接：https://github.com/apache/dubbo/releases