CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告

CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告

360-CERT [360CERT](javascript:void(0)😉 昨天

0x01 漏洞背景

2020年3月11日，360CERT监测发现

ShardingSphere

官方发布4.0.1版本的更新公告，当攻击者在后台管理处提交恶意 yaml ，会被解析从而造成代码执行

ShardingSphere

是一套开源的分布式数据库中间件解决方案组成的生态圈，它由

Sharding-JDBC

、

Sharding-Proxy

和

Sharding-Sidecar

（计划中）这3款相互独立的产品组成。他们均提供标准化的数据分片、分布式事务和数据库治理功能，可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。

Apache ShardingSphere UI

是

Apache ShardingSphere

的图形界面版产品

0x02 风险等级

360CERT对该漏洞进行评定

360CERT建议广大用户及时更新

ShardingSphere

。做好资产 自查/自检/预防 工作，以免遭受攻击。

0x03 影响版本

• Apache ShardingSphere&UI <= 4.0.0

0x04 漏洞证明

利用默认用户名密码进行登录

admin/admin

0x05 修复建议

临时修补方案：修改

/conf/application.properties

的默认用户名密码

官方修补方案: 更新至最新版本，

https://github.com/apache/incubator-shardingsphere

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类 漏洞/事件 进行监测，请用户联系相关产品区域负责人获取对应产品。

360AISA全流量威胁分析系统

360AISA基于360海量安全大数据和实战经验训练的模型，进行全流量威胁检测，实现实时精准攻击告警，还原攻击链。

目前产品具备该漏洞/攻击的实时检测能力。

0x07 时间线

2020-03-09 官方发布更新公告

2020-03-11 360CERT发布预警

0x08 参考链接

1.https://github.com/apache/incubator-shardingsphere/releases

• 点赞 5
• 收藏
• 分享
• 文章举报

admin-root 发布了111 篇原创文章 · 获赞 1250 · 访问量 19万+ 私信 关注