发布日期：2020-03-10
更新日期：2020-03-12

受影响系统：

Apache Group ShardingSphere < 4.0.1

描述：

---

CVE(CAN) ID: CVE-2020-1947

Apache ShardingSphere是开源的分布式数据库中间件项目，于2018年11月进入Apache基金会孵化器。可提供数据分片（分库分表）、分布式事务、数据库治理三大功能。

Apache ShardingSphere 4.0.1之前版本在实现中存在远程代码执行漏洞。攻击者在登录管理后台后，通过提交恶意YAML代码，可实现远程代码执行。

<*来源：Apache
  *>

建议：

---

厂商补丁：

Apache Group
------------
官方已在最新版本4.0.1中，以添加classfilter的方式限制了YAML非法类，修复了此漏洞。相关用户可通过升级至最新版本，实现对此漏洞的防护。

下载链接：

https://github.com/apache/incubator-shardingsphere/releases

浏览次数：1446
严重程度：0（网友投票）