Apache ShardingSphere高危漏洞风险提示：

【漏洞公告】

        2020年3月9日，Apache ShardingSphere更新发布了4.0.1之前版本中存在远程代码执行漏洞的补丁公告，源码修补实际在2月份已更新完成，相关链接：https://github.com/apache/incubator-shardingsphere/releases

根据公告，此次补丁增加了ClassFilterConstructor来限制YAML的不安全的反序列化，对未补丁的版本，恶意攻击者可以通过构造特定的YAML语句达到命令执行的效果，成功利用该漏洞能获取目标系统管理权限，建议尽快升级到漏洞修复的版本或采取临时缓解措施加固系统。

【影响范围】

        Apache ShardingSphere远程代码执行漏洞影响以下版本：Apache ShardingSphere < 4.0.1，建议更新4.0.1以上版本

官方下载：

https://archive.apache.org/dist/incubator/shardingsphere/

GitHub下载地址：

https://github.com/apache/incubator-shardingsphere/releases

【漏洞描述】

        根据分析，Apache ShardingSphere未限制的YAML解析可能导致不安全反序列化漏洞，恶意攻击者可以通过默认用户名和密码：admin/admin登录后，构造特定的YAML语句达到命令执行的效果。

【缓解措施】

        高危：目前漏洞细节和利用代码暂未公开，但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码，建议及时测试并更新到漏洞修复的版本，或部署必要的安全防护设备拦截恶意攻击代码。