【漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告
威胁对抗能力部 绿盟科技安全情报 今天
通告编号:NS-2020-0018
2020-03-12
TAG: Apache、ShardingSphere、CVE-2020-1947
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.0
1
漏洞概述
Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器,可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。。
3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台的前提下,通过提交恶意YAML代码,可实现远程代码执行。请相关用户尽快升级至最新版本,修复此漏洞。
漏洞复现成功的截图如下:
参考链接:
https://github.com/apache/incubator-shardingsphere/releases
SEE MORE →
2影响范围
受影响版本
- Apache ShardingSphere < 4.0.1
不受影响版本
- Apache ShardingSphere = 4.0.1
3漏洞防护
3.1 官方升级
官方已在最新版本4.0.1中,以添加classfilter的方式限制了YAML非法类,修复了此漏洞。相关用户可升级至最新版本,实现对此漏洞的防护。
下载链接可参考:https://github.com/apache/incubator-shardingsphere/releases
