[누동 통고] CVE-2020-1947/Apache ShardingSphere UI YAML 해석 远程大码执行 누동

누동 묘사



근일 亚信安全网络攻防实验室跟踪到 Apache ShardingSphere 존재 YAML勾型墾形界面版产品.攻击者利用此漏洞可以实现代码执行、直接接管服务器.

누동호호



CVE-2020-1947

누동 위조 등



고위험

影影范围



Apache ShardingSphere&&UI <= 4.0.1

누동 굵기



选用 maoge 复现漏洞
Apache 默认的后台密码均为 Apache ShardingSphere UI .


陆陆以后,在相应漏洞触发点输入payload 즉가완성공준.该payload 주요차조于



修复建议



升级到最新版本即可
htps : // 기주 b. 코 m / 아파치 / 니쿠바와 루 샤 ぢ gsp 헤레 / 레 에세 s

时间轴



[0] 2020/03/10 기안신 CERT 주포 누동 통고
[1] 2020/03/10 亚信安全网络攻防实验室分析&复现该漏洞 并发布漏洞 통고

踢谢



감초 Apache ShardingSphere 소벌반 일기연구

Reference

좋은 웹페이지 즐겨찾기