漏洞介绍
CVE-2019-17564漏洞等级为中危。当用户选择HTTP协议进行通信时,攻击者可以通过发送POST请求的时候来执行一个反序列化的操作,由于没有任何安全校验,该漏洞可以造成反序列化执行任意代码。
影响的版本范围
漏洞影响的Apache Dubbo产品版本包括: 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x的所有版本。
安全版本
解决方案
建议您将Apache Dubbo升级到2.7.5版本。
如果您无法快速升级版本,或者希望防护更多其他漏洞,可以使用天翼云Web应用防火墙对该漏洞进行防护,请参照以下步骤进行防护:
步骤 1 申请WAF独享引擎。
步骤 2 将网站域名添加到WAF中并完成域名接入,详细操作请参见网站接入WAF。
步骤 3 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则。