【漏洞通告】Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)通告
威胁对抗能力部 绿盟科技安全情报 今天
通告编号:NS-2020-0018
2020-03-12
TAG: Apache、ShardingSphere、CVE-2020-1947
漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。
版本: 1.0
1
漏洞概述
Apache ShardingSphere是京东开源的分布式数据库中间件项目,于2018年11月进入Apache基金会孵化器,可提供数据分片(分库分表)、分布式事务、数据库治理三大功能。。
3月10日,Apache ShardingSphere官方库发布了新版本4.0.1,修复了远程代码执行漏洞(CVE-2020-1947)。攻击者在登录管理后台的前提下,通过提交恶意YAML代码,可实现远程代码执行。请相关用户尽快升级至最新版本,修复此漏洞。
漏洞复现成功的截图如下:
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsISPrdEZwZ1Rh5WNXp1bwNjW1ZUba9VZwlHdsATOfd3bkFGazxCMx8VesATMfhHLlN3XnxCMwEzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsYTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cmbw5yN0M2Y0ImN1AjN3ETM3MGN2EWZ4QjY2MjMjhjN3EzYz8CX4EzLcZDMxIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLzM3Lc9CX6MHc0RHaiojIsJye.png)
参考链接:
https://github.com/apache/incubator-shardingsphere/releases
SEE MORE →
2影响范围
受影响版本
- Apache ShardingSphere < 4.0.1
不受影响版本
- Apache ShardingSphere = 4.0.1
3漏洞防护