一、 漏洞 CVE-2020-1948 基础信息
漏洞信息
                                        # N/A

## 概述
Dubbo 用户在使用版本 2.7.6 或更低版本时可能会受到漏洞影响。攻击者可以通过发送包含未识别的服务名称或方法名称以及恶意参数负载的 RPC 请求来触发该漏洞。恶意参数在反序列化时会执行恶意代码。

## 影响版本
- 2.7.6 及以下版本

## 细节
攻击者发送的 RPC 请求包含未识别的服务名称或方法名称,以及一些恶意参数负载。一旦这些恶意参数被反序列化,就会执行恶意代码。

## 影响
攻击者可以利用该漏洞执行任意代码,从而可能控制受影响的服务器或应用程序。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This vulnerability can affect all Dubbo users stay on version 2.7.6 or lower. An attacker can send RPC requests with unrecognized service name or method name along with some malicious parameter payloads. When the malicious parameter is deserialized, it will execute some malicious code. More details can be found below.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Dubbo 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Dubbo是美国阿帕奇软件(Apache Software)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。 Apache Dubbo 2.7.6及之前版本中的反序列化工具hessian存在安全漏洞。远程攻击者可利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-1948 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/ctlyz123/CVE-2020-1948 POC详情
2 Apache Dubbo CVE-2020-1948 漏洞测试环境,亲测可用。 https://github.com/txrw/Dubbo-CVE-2020-1948 POC详情
3 None https://github.com/M3g4Byt3/cve-2020-1948-poc POC详情
4 [CVE-2020-1948] Apache Dubbo Provider default deserialization cause RCE https://github.com/L0kiii/Dubbo-deserialization POC详情
5 None https://github.com/Threekiii/Awesome-POC/blob/master/%E5%BC%80%E5%8F%91%E6%A1%86%E6%9E%B6%E6%BC%8F%E6%B4%9E/Apache%20Dubbo%20Hessian%20%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%20CVE-2020-1948.md POC详情
三、漏洞 CVE-2020-1948 的情报信息