Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

Apache Dubbo存在代码注入漏洞，该漏洞源于 Dubbo 中的某些组件会尝试打印输入参数的格式化字符串，这可能会导致具有特殊toString方法的恶意定制bean的RCE。目前没有详细的漏洞细节提供。

在发布漏洞公告信息之前，CNVD都力争保证每条公告的准确性和可靠性。然而，采纳和实施公告中的建议则完全由用户自己决定，其可能引起的问题和结果也完全由用户承担。是否采纳我们的建议取决于您个人或您企业的决策，您应考虑其内容是否符合您个人或您企业的安全策略和流程。

Apache Dubbo >=2.7.0，<2.7.13

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread.html/r40212261fd5d638074b65f22ac73eebe93ace310c79d4cfcca4863da%40%3Cdev.dubbo.apache.org%3E

Apache Dubbo格式化字符串错误漏洞的补丁