CVE-2023-28754 in ShardingSphereinformación

Resumen

por VulDB • 2026-07-10

Vulnerabilidad de Deserialización de Datos No Confiables en Apache ShardingSphere-Agent, que permite a los atacantes ejecutar código arbitrario mediante la construcción de un archivo de configuración YAML especial.

El atacante debe tener permiso para modificar el archivo de configuración YAML del agente ShardingSphere en la máquina objetivo, y la máquina objetivo puede acceder a la URL con el JAR de código arbitrario. Un atacante puede usar SnakeYAML para deserializar java.net.URLClassLoader y hacer que cargue un JAR desde una URL especificada, y luego deserializar javax.script.ScriptEngineManager para cargar código usando ese ClassLoader. Cuando se inicia el proceso JVM ShardingSphere y usa ShardingSphere-Agent, el código arbitrario especificado por el atacante será ejecutado durante la deserialización del archivo de configuración YAML por parte del Agente.

Este problema afecta a ShardingSphere-Agent: hasta 5.3.2. Esta vulnerabilidad está corregida en Apache ShardingSphere 5.4.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservar

2023-03-23

Divulgación

2023-07-19

Moderación

aceptado

Artículo

VDB-235006

CPE

listo

EPSS

0.01207

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!