首页 > 清静研究 > 清静转达 > 清静通告

Apache ShardingSphere远程代码执行误差危害通告

宣布时间 2020-03-11

误差编号和级别

CVE编号：CVE-2020-1947，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

Apache ShardingSphere < 4.0.1

误差概述

Apache ShardingSphere是一套开源的漫衍式数据库中心件解决计划组成的生态圈，，，，，它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar（妄想中）这3款相互自力，，，，，却又能够混淆安排配合使用的产品组成。。。。。。。它们均提供标准化的数据分片、漫衍式事务和数据库治理功效，，，，，可适用于如Java同构、异构语言、云原生等种种多样化的应用场景。。。。。。。

Apache ShardingSphere保存远程代码执行误差，，，，，经由验证的攻击者可以通过提交恣意YAML代码实现远程代码执行。。。。。。。Apache ShardingSphere后台的治理账号密码默认均为admin。。。。。。。

通过对Apache ShardingSphere代码剖析，，，，，发明开发职员直接使用unmarshal要领对输入的YAML直接举行剖析，，，，，没有做校验。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

比照补丁发明新增ClassFilterConstructor来对此举行校验。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

误差验证

PoC:https://github.com/Imanfeng/CVE-2020-1947。。。。。。。

修复建议

现在官方已宣布最新版本修复该误差，，，，，建议用户尽快升级：https://github.com/apache/incubator-shardingsphere/releases。。。。。。。

参考链接

https://github.com/apache/incubator-shardingsphere/releases

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Apache ShardingSphere远程代码执行误差危害通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线