Apache Dubbo hessian-lite 远程代码执行漏洞

0x1 漏洞背景

CVE: CVE-2021-43297

受影响的Apache Dubbo版本：

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

简述：Apache Dubbo是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞，未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议，在Hessian 捕获到异常时，Hessian将会注销一些用户信息，这可能会导致远程命令执行。

0x2 漏洞分析

查找官方在 21 Nov 2021的commit记录：

https://github.com/apache/dubbo-hessian-lite/commit/a35a4e59ebc76721d936df3c01e1943e871729bd

可以看到对漏洞的修复是 删除了抛出异常错误时对HessianInput对象反序列化。由此推测在这里可能存在反序列化命令执行的问题。

0x3 POC

参看：

https://github.com/bitterzzZZ/CVE-2021-43297-POC

0x4 修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至最新安全版本。