CVE-2023-23638 Apache Dubbo JavaNative反序列化漏洞分析

一、漏洞简介Apache Dubbo 是一款开源的一个高性能的 Java RPC 框架，致力于提供高性能透明化的 RPC 远程服务调用方案，常用于开发微服务和分布式架构相关的需求。Apache Dubbo Provider 默认使用 Hession 反序列化机制与 Consumer 进行通信。本漏洞通过动态修改 Dubbo Configuration 启用 JavaNative，然后利用 Hession 反序列化触发特定 Gadget ，最终导致远程代码执行。影响范围：Apache Dubbo 2.7.x Apache Dubbo 3.0.x Apache Dubbo 3.1.x 二、漏洞环境搭建漏洞环境可参考 lz2y 师傅文章 CVE-2021-3017Step1: 启动 zookeeeperStep2: 启动 dubbo provider。注册接口  demoService，方法为 sayHello。三、漏洞分析3.1 请求处理逻辑Apache Dubbo 默认支持泛化引用由服务端 API 接口暴露的所有方法，这些调用统一由 GenericFilter 处理。GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表，根据反射机制获取 ………………………………