一、 漏洞 CVE-2021-36163 基础信息
漏洞标题
使用Hessian协议的提供商中进行不安全的解serialization
来源:AIGC 神龙大模型
漏洞描述信息
使用Hessian协议的提供者中存在的不安全反序列化
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Unsafe deserialization in providers using the Hessian protocol
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Apache Dubbo, users may choose to use the Hessian protocol. The Hessian protocol is implemented on top of HTTP and passes the body of a POST request directly to a HessianSkeleton: New HessianSkeleton are created without any configuration of the serialization factory and therefore without applying the dubbo properties for applying allowed or blocked type lists. In addition, the generic service is always exposed and therefore attackers do not need to figure out a valid service/method name pair. This is fixed in 2.7.13, 2.6.10.1
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Dubbo 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。 Apache Dubbo 存在安全漏洞,该漏洞源于在 Apache Dubbo 中,用户可以选择使用 Hessian 协议。Hessian 协议是在 HTTP 之上实现的,并将 POST 请求的主体直接传递给 HessianSkeleton:新的 HessianSkeleton 是在没有任何序列化工厂配置的情况下创建的
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-36163 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2021-36163 的情报信息