「漏洞通告」Apache ShardingSphere远程代码执行(CVE-2020-1947)

经过验证的攻击者利用此漏洞,可实现任意代码执行。

一、漏洞概述

Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器。可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。

3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台后,通过提交恶意YAML代码,可实现远程代码执行。请相关用户尽快升级至最新版本,修复此漏洞。

漏洞复现成功截图如下:

参考链接:

https://github.com/apache/incubator-shardingsphere/releases

二、影响范围

Apache ShardingSphere 版本 < 4.0.1

三、防护措施

官方已在最新版本4.0.1中,以添加classfilter的方式限制了YAML非法类,修复了此漏洞。相关用户可通过升级至最新版本,实现对此漏洞的防护。

下载链接:

https://github.com/apache/incubator-shardingsphere/releases

发表评论