【背景】
2020年2月10号，Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布，使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。Dubbo原属于阿里巴巴的开源项目，2018年阿里巴巴捐赠给 Apache 基金会。【漏洞详情】在使用http协议的Dubbo中，会调用org.springframework.remoting.rmi.RemoteInvocationSerializingExporter 类，该类中 readObject()时未对用户传入的post数据做校验：

导致服务器存在特定gadgets的情况下可用作RCE(远程代码执行)，这里在dubbo provider上用 JDK8U20 并添加 commons-collections4 4.0 复现：

【风险评级】高危【影响版本】Dubbo 2.7.0 to 2.7.4Dubbo 2.6.0 to 2.6.7Dubbo all 2.5.x versions【修复建议】将项目中的 org.apache.dubbo.dubbo 包升级到最新(当前最新版2.7.5)。腾讯御界可检测此漏洞的攻击。【参考链接】https://qiita.com/shimizukawasaki/items/39c9695d439768cfaeb5https://meterpreter.org/cve-2019-17564-apache-dubbo-deserialization-vulnerability-alert/https://www.mail-archive.com/[email protected]/msg06225.html