【漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告

【漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告

威胁对抗能力部 绿盟科技安全情报 今天

通告编号:NS-2020-0018

2020-03-12

TAG: Apache、ShardingSphere、CVE-2020-1947
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.0

1

漏洞概述

Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器,可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。。

3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台的前提下,通过提交恶意YAML代码,可实现远程代码执行。请相关用户尽快升级至最新版本,修复此漏洞。

漏洞复现成功的截图如下:

【漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告_第1张图片

参考链接:

https://github.com/apache/incubator-shardingsphere/releases

SEE MORE →

2影响范围

受影响版本

  • Apache ShardingSphere < 4.0.1

不受影响版本

  • Apache ShardingSphere = 4.0.1

3漏洞防护

3.1 官方升级

官方已在最新版本4.0.1中,以添加classfilter的方式限制了YAML非法类,修复了此漏洞。相关用户可升级至最新版本,实现对此漏洞的防护。

下载链接可参考:https://github.com/apache/incubator-shardingsphere/releases

你可能感兴趣的:(新增漏洞报告)