一、内容概述 近日，监测发现Apache Dubbo官方发布了CVE-2019-17564漏洞通告，漏洞等级中危。

当用户选择http协议进行通信时，Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。

由于此步骤没有任何安全校验，因此可以造成反序列化执行任意代码。

二、详细说明 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡以及服务自动注册和发现。

Apache Dubbo支持多种协议，官方默认为 Dubbo 协议。

当用户选择http协议进行通信时，Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。

由于此步骤没有任何安全校验，因此可以造成反序列化执行任意代码。

三、影响范围 受影响版本： 2.7.0 <= Apache Dubbo <= 2.7.4 2.6.0 <= Apache Dubbo <= 2.6.7 Apache Dubbo 2.5.x 的所有版本 四、漏洞修复建议 建议用户尽快升级到2.7.5版本。

https://github.com/apache/dubbo/tree/dubbo-2.7.5 五、参考链接 1)https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html转自中国信息通信研究院