Apache Dubbo組件存在反序列化漏洞，漏洞編號：CVE-2023-23638，漏洞威脅等級：高危。該漏洞是由于Dubbo在序列化時檢查不夠全面，攻擊者可利用該漏洞，構造惡意數據執行反序列化攻擊，最終繞過檢查觸發反序列化，執行任意代碼。

Apache Dubbo是基于Java的高性能開源RPC框架。其前身是阿里巴巴公司開源的、輕量級的開源Java RPC框架，可以和Spring框架無縫集成。

（一）漏洞影響范圍：

目前受影響的Apache Dubbo版本：

2.7.0 ≤ Dubbo ≤ 2.7.22

3.0.0 ≤ Dubbo ≤ 3.0.14

3.1.0 ≤ Dubbo ≤ 3.1.6

（二）漏洞修復建議：

官方已經發布受影響版本的對應補丁，建議受影響的用戶及時更新官方的安全補丁，詳細信息如下：

https://github.com/apache/dubbo/releases