Apache Dubbo Hession反序列化漏洞（CVE-2022-39198）

  Apache Dubbo组件存在Hession反序列化漏洞，该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，利用此漏洞可在目标系统上执行恶意代码，最终获取服务器最高权限，漏洞编号：CVE-2022-39198，漏洞威胁等级：高危。

一、 漏洞情况

Apache Dubbo是一款高性能、轻量级的开源服务框架，提供了RPC通信与微服务处理两大关键能力。
由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，成功利用此漏洞可在目标系统上执行恶意代码。攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

二、 漏洞等级

高危

三、 漏洞影响范围

影响版本：
Apache Dubbo hessian-lite <= 3.2.12
Apache Dubbo 2.7.x <= 2.7.17
Apache Dubbo 3.0.x <= 3.0.11
Apache Dubbo 3.1.x <= 3.1.0

四、 漏洞修复建议

注意：安装补丁和加固前务必做好备份工作，切记！
目前该漏洞已经修复，受影响用户可以升级到Dubbo hessian-lite 版本 >=3.2.13；
或升级Apache Dubbo到以下版本：
Apache Dubbo 2.7.x >= 2.7.18
Apache Dubbo 3.0.x >= 3.0.12
Apache Dubbo 3.1.x >= 3.1.1

Apache Dubbo下载链接：https://github.com/apache/dubbo/tags
Dubbo hessian-lite下载链接：https://github.com/apache/dubbo-hessian-lite/releases