2020年2月13日 · 近日，华为云关注到Apache Dubbo存在反序列化漏洞（CVE-2019-17564）。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架，当Apache Dubbo启用HTTP协议之后，在接受来自用户远程调用请求时存在一个不安全的反序列化行为，最终可导致远程任意代码执行。

CVE-2020-1948是当Dubbo服务端暴露时 (默认端口：20880)，攻击者可以发送任意的服务名或方法名的RPC请求，同时附加恶意的序列化参数，服务端在解析参数进行反序列化时触发。 Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。 使用Dubbo的最常见方法是在Spring框架中运行. IDEA中创建一个maven空项目，作为项目父工程，然后右键父工程目录依次创建三 …

2020年9月10日 · Dubbo提供了三个关键功能，包括基于接口的远程呼叫，容错和负载平衡以及自动服务注册和发现。 Dubbo支持Dubbo、RMI、Hessian、HTTP、WebService、Thrift、Native Thrift、Memcached、Redis、Rest、JsonRPC、XmlRPC、JmsRpc等协议，官方推荐使用Dubbo协议。 在启用HTTP远程处理的Dubbo应用程序中发生不安全的反序列化。 如果此实例启用了HTTP，则攻击者可能会提交其中包含Java对象的POST请求，以完全破坏Apache Dubbo …

2022年12月29日 · 【背景】2020年2月10号，Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布，使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。 Apache Dubbo 是一款高性能、轻量级的开源 Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容...

2020年2月14日 · Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞（CVE-2019-17564）,该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo对消息体处理不当导致不安全反序列化，当项目包中存在可用的gadgets时即可导致远程代码执行.

2020年10月4日 · Apache Dubbo反序列化漏洞（CVE-2019-17564）复现分析 漏洞描述 Apache Dubbo是一款高性能Java RPC框架，核心功能是方便面向 接口 的 远程过程 调用，集群容错和负载均衡，以及服务自动注册与发现。

Apache Dubbo HTTP协议中的一个反序列化漏洞（CVE-2019-17564），该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo对消息体处理不当导致不安全反序列化，当项目包中存在可用的gadgets时即可导致远程代码执行。

2023年8月25日 · 在2019年，Apache Dubbo暴露了一个严重的安全漏洞，即CVE-2019-17564，这是一个Http反序列化漏洞。 该 漏洞 发生在启用HTTP远程处理的 Dubbo 应用程序中，攻击者可以通过发送包含恶意 Java 对象的POST请求，导致不安全的反...

Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞（CVE-2019-17564）,该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后，Apache Dubbo对消息体处理不当导致不安全反序列化，当项目包中存在可用的gadgets时即可导致远程代码执行.。

2020年2月14日 · 近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，360灵腾安全实验室判断漏洞等级为高，利用难度低，威胁程度高，影响面大。 建议使用用户及时安装最新补丁，以免遭受黑客攻击。