一、漏洞详情

Apache Dubbo是一款高性能、轻量级的开源服务框架，提供了RPC通信与微服务处理两大关键能力。其组件Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，攻击者可利用该漏洞在目标系统未授权的情况下，构造恶意数据执行代码，远程执行攻击，最终可获取服务器最高权限。

二、受影响版本

Apache Dubbo hessian-lite <=3.2.1

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

三、修复方式

目前，Apache已发布修复了此漏洞的更新版本。如受影响，可通过下载官方的版本更新修复漏洞，Apache Dubbo下载地址是https://github.com/apache/dubbo/tags，Dubbo hessian-lite下载地址是https://github.com/apache/dubbo-hessian-lite/releases。

请各单位高度重视，及时排查梳理受影响情况，在确保安全的前提下修复漏洞、消除隐患。同时，加强安全监测，做好应急处置准备，发现突出情况要迅速处置并第一时间报告。