Apache Dubbo是一种基于Java的高性能RPC框架。该项目于2011年开源，并于2018年2月进入Apache孵化器，目前已经成为了广大开发者最常使用的微服务框架之一。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。Dubbo 2.7.6或更低版本采用hessian2实现反序列化，其中存在反序列化远程代码执行漏洞。攻击者可以发送未经验证的服务名或方法名的RPC请求，同时配合附加恶意的参数负载。当服务端存在可以被利用的第三方库时，恶意参数被反序列化后形成可被利用的攻击链，直接对Dubbo服务端进行恶意代码执行。

1.升级 2.7.7 版本，并根据https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de 的方法进行参数校验;2.禁止将 Dubbo 服务端端口开放给公网，或仅仅只对能够连接至 Dubbo 服务端的可信消费端IP开放