近日，白帽汇安全研究院发现网络中公布了影响Apache ShardingSphere的高危漏洞，由奇安信的国内安全研究人员发现的。

Apache ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈，它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar这3款相互独立，却又能够混合部署配合使用的产品组成。它们均提供标准化的数据分片、分布式事务和数据库治理功能，可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。

危害等级

严重

漏洞原理

Apache ShardingSphere存在YAML解析远程代码执行漏洞（Apache ShardingSphere UI是Apache ShardingSphere的图形界面版产品，可用其进行验证），开发人员直接使用unmarshal方法对输入的YAML直接进行解析，没有做校验，攻击者在相应漏洞触发点输入payload即可完成攻击。(下图来自亚信安全)

漏洞影响

Apache ShardingSphere < 4.0.1

CVE编号

CVE-2020-1947

修复建议

目前官方已发布安全更新，请管理员及时下载安装：https://github.com/apache/incubator-shardingsphere/releases

参考

[1] https://mp.weixin.qq.com/s/Rmi0n_FrUi4G3-qzwnWL8w

[2] http://shardingsphere.apache.org/index_zh.html

[3] https://mp.weixin.qq.com/s/c5apSZQEDgN3rfbAjNQqhA

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。