Apache Dubbo組件存在反序列化漏洞，漏洞編號(hào)：CVE-2023-23638，漏洞威脅等級(jí)：高危。該漏洞是由于Dubbo在序列化時(shí)檢查不夠全面，攻擊者可利用該漏洞，構(gòu)造惡意數(shù)據(jù)執(zhí)行反序列化攻擊，最終繞過檢查觸發(fā)反序列化，執(zhí)行任意代碼。

Apache Dubbo是基于Java的高性能開源RPC框架。其前身是阿里巴巴公司開源的、輕量級(jí)的開源Java RPC框架，可以和Spring框架無縫集成。

（一）漏洞影響范圍：

目前受影響的Apache Dubbo版本：

2.7.0 ≤ Dubbo ≤ 2.7.22

3.0.0 ≤ Dubbo ≤ 3.0.14

3.1.0 ≤ Dubbo ≤ 3.1.6

（二）漏洞修復(fù)建議：

官方已經(jīng)發(fā)布受影響版本的對(duì)應(yīng)補(bǔ)丁，建議受影響的用戶及時(shí)更新官方的安全補(bǔ)丁，詳細(xì)信息如下：

https://github.com/apache/dubbo/releases