一、背景介绍

10月20日，中央网信办监测发现，Apache Dubbo服务存在反序列化漏洞，攻击者可以通过构造特定请求在服务器上执行恶意代码（CVE-2022-39198）。目前尚未发现在野利用的情况，Apache已发布修复了此漏洞的更新版本。请各单位组织排查本部门关键信息基础设施与重要信息系统是否受该漏洞影响。

1.1 漏洞描述

由于Apache Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，成功利用此漏洞可在目标系统上执行恶意代码。

1.2 漏洞编号

CVE-2022-39198

二、修复建议

2.1 受影响版本

Apache Dubbo hessian-lite <=3.2.12

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

2.2 修复建议

可通过下载官方的版本更新修复漏洞，下载地址如下：

https://github.com/apache/dubbo/tags

如无法完成升级，可以使用白名单限制相关端口的访问等措施来降低安全风险。