[Risque élevé] Vulnérabilité de désérialisation d'Apache ShardingSphere

News 2023-07-30 10:59:51 views: null

 Description de la vulnérabilité

Apache ShardingSphere est un middleware de base de données distribuée open source.

Dans la version affectée d'Apache ShardingSphere, étant donné qu'Apache ShardingSphere-Agent ne valide pas correctement les données non approuvées lors de la désérialisation des fichiers de configuration YAML, les attaquants peuvent utiliser SnakeYAML pour désérialiser java.net.URLClassLoader afin de charger des fichiers JAR malveillants, combinés avec javax .script.ScriptEngineManager désérialise Fichiers JAR pour exécuter du code malveillant.

Nom de la vulnérabilité Vulnérabilité de désérialisation d'Apache ShardingSphere
Type de vulnérabilité désérialisation
L'heure de la découverte 2023/7/19
Étendue de la vulnérabilité en général
Numéro MPS MPS-2023-8692
Numéro CVE  CVE-2023-28754
Numéro CNVD -


Sphère d'influence

org.apache.shardingsphere:shardingsphere-agent-core@(-∞, 5.4.0)

Programme de réparation

Mettez à niveau le composant org.apache.shardingsphere:shardingsphere-agent-core vers la version 5.4.0 ou supérieure

lien de référence

https://www.oscs1024.com/hd/MPS-2023-8692

https://nvd.nist.gov/vuln/detail/CVE-2023-28754

https://lists.apache.org/thread/p8onhqox5kkwow9lc6gs03z28wtyp1cg

https://github.com/apache/shardingsphere/commit/f67bffd8d7f2140ad6a20d449fb1d257f04502ce

https://github.com/apache/shardingsphere/pull/26424

À propos de Murphy Security 

Murphy Security est une société technologique qui vous fournit un logiciel professionnel de gestion de la sécurité de la chaîne d'approvisionnement. L'équipe principale provient de Baidu, Huawei, Wuyun et d'autres entreprises. La société fournit aux clients une plate-forme complète de gestion de la sécurité de la chaîne d'approvisionnement logicielle et fournit des logiciels avec un cycle de vie complet autour de la gestion de la sécurité SBOM, les capacités de la plate-forme incluent l'analyse des composants logiciels, la gestion de la sécurité des sources, la détection d'images de conteneurs, l'alerte précoce en matière de vulnérabilité et l'évaluation de l'accès à la chaîne d'approvisionnement des logiciels commerciaux et d'autres produits. Fournissez aux clients des capacités de contrôle complètes depuis la gestion de l'identification des actifs de la chaîne d'approvisionnement, la détection des risques, le contrôle de la sécurité et la réparation à clé unique.

Projet open source : https://github.com/murphysecurity/murphysec/?sf=qbyj

Le produit peut être intégré à divers outils dans le processus de développement existant à un coût très faible, y compris une intégration transparente avec des dizaines d'outils tels que IDE, Gitlab, Bitbucket, Jenkins, Harbor et Nexus.

Outil de détection de sécurité de code gratuit :  https://www.murphysec.com/?sf=qbyj
Abonnement gratuit à l'intelligence : https://www.oscs1024.com/cm/?sf=qbyj


Je suppose que tu aimes

Origine blog.csdn.net/murphysec/article/details/131923825
conseillé
Classement
du quotidien
Plus
2024-08-26(0)
2024-08-25(0)
2024-08-24(0)
2024-08-23(0)
2024-08-22(0)
2024-08-21(0)
2024-08-20(0)
2024-08-19(0)
2024-08-18(0)
2024-08-17(0)

Code World

© 2018 codetd.com