Apache Dubbo组件存在反序列化漏洞，漏洞编号：CVE-2023-23638，漏洞威胁等级：高危。该漏洞是由于Dubbo在序列化时检查不够全面，攻击者可利用该漏洞，构造恶意数据执行反序列化攻击，最终绕过检查触发反序列化，执行任意代码。

Apache Dubbo是基于Java的高性能开源RPC框架。其前身是阿里巴巴公司开源的、轻量级的开源Java RPC框架，可以和Spring框架无缝集成。

（一）漏洞影响范围：

目前受影响的Apache Dubbo版本：

2.7.0 ≤ Dubbo ≤ 2.7.22

3.0.0 ≤ Dubbo ≤ 3.0.14

3.1.0 ≤ Dubbo ≤ 3.1.6

（二）漏洞修复建议：

官方已经发布受影响版本的对应补丁，建议受影响的用户及时更新官方的安全补丁，详细信息如下：

https://github.com/apache/dubbo/releases