经过验证的攻击者利用此漏洞,可实现任意代码执行。
一、漏洞概述
Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器。可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。
3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台后,通过提交恶意YAML代码,可实现远程代码执行。请相关用户尽快升级至最新版本,修复此漏洞。
漏洞复现成功截图如下:
参考链接:
https://github.com/apache/incubator-shardingsphere/releases
二、影响范围
Apache ShardingSphere 版本 < 4.0.1
三、防护措施
官方已在最新版本4.0.1中,以添加classfilter的方式限制了YAML非法类,修复了此漏洞。相关用户可通过升级至最新版本,实现对此漏洞的防护。
下载链接: