1.产品描述:
Apache ShardingSphere 是一款分布式的数据库生态系统, 可以将任意数据库转换为分布式数据库,并通过数据分片、弹性伸缩、加密等能力对原有数据库进行增强。
ElasticJob 是面向互联网生态和海量任务的分布式调度解决方案,由两个相互独立的子项目 ElasticJob-Lite 和 ElasticJob-Cloud 组成。 它通过弹性调度、资源管控、以及作业治理的功能,打造一个适用于互联网场景的分布式调度解决方案,并通过开放的架构设计,提供多元化的作业生态。 它的各个产品使用统一的作业 API,开发者仅需一次开发,即可随意部署。
2.影响产品或组件及版本:
Apache ShardingSphere ElasticJob-UI <= 3.0.1
3.受影响资产情况:
通过资产测绘系统fofa发现,全球共123个使用记录,其中第一名中国106个,第二名新加坡3个,第三名美国3个
4.技术细节表述:
Apache ShardingSphere ElasticJob-UI的Lite UI允许攻击者通过构建H2数据库的特殊JDBC URL来执行RCE。
注意:攻击者必须获取账户密码,否则不能利用此漏洞。
5.修补措施:
厂商已发布了漏洞修复程序,安全版本:Apache ShardingSphere ElasticJob-UI >= 3.0.2 (最新版官方下载链接:https://shardingsphere.apache.org/elasticjob/current/cn/downloads/)
6.漏洞来源:
https://vip.riskivy.com/detail/1587626158059556864
注:该漏洞已有CVE漏洞编号,暂无CNNVD漏洞编号
评论