近期曝出Apache Dubbo存在反序列化漏洞，不法分子可利用该漏洞构造特定请求在服务器上执行恶意代码。

Apache Dubbo是由阿里巴巴公司开源的一款应用广泛的Java RPC分布式服务框架，使得应用可通过高性能的RPC实现服务的输出和输入功能，可以和Spring框架无缝集成。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

漏洞名称：反序列化漏洞

危害等级：高危

影响范围：

Apache Dubbo hessian-lite<=3.2.12

Apache Dubbo 2.7.x<=2.7.17

Apache Dubbo 3.0.x<=3.0.11

Apache Dubbo 3.1.x<=3.1.0

修复建议：当前Apache官方已发布针对此漏洞的更新版本，下载地址：https://github.com/apache/dubbo/tags。如无法完成升级，可以使用白名单限制相关端口的访问等措施来降低安全风险。