发布日期：2022-01-10
更新日期：2022-03-14

受影响系统：

Apache Apache Dubbo Hessian-Lite >= 3.0.0
Apache Apache Dubbo Hessian-Lite >= 2.7.0
Apache Apache Dubbo Hessian-Lite >= 2.6.0
Apache Apache Dubbo Hessian-Lite < 3.0.5
Apache Apache Dubbo Hessian-Lite < 2.7.15
Apache Apache Dubbo Hessian-Lite < 2.6.12

描述：

---

CVE(CAN) ID: CVE-2021-43297

Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
Apache Dubbo hessian-lite存在远程代码执行漏洞，该漏洞源于当用户使用Hessian2作为默认的序列化/反序列化协议时，Hessian在搜寻意外异常期间，会注销用户的某些信息。攻击者可利用该漏洞导致远程代码执行。

<*链接：https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CVE-2021-43297）以及相应补丁:
CVE-2021-43297：CVE-2021-43297: Apache Dubbo: Dubbo Hessian cause RCE when parse error
链接：https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

浏览次数：943
严重程度：0（网友投票）