CVE-2020-1947

Опубликовано: 11 мар. 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Высокий

Описание

In Apache ShardingSphere(incubator) 4.0.0-RC3 and 4.0.0, the ShardingSphere's web console uses the SnakeYAML library for parsing YAML inputs to load datasource configuration. SnakeYAML allows to unmarshal data to a Java type By using the YAML tag. Unmarshalling untrusted data can lead to security flaws of RCE.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:shardingsphere:4.0.0:-:*:*:*:*:*:*

cpe:2.3:a:apache:shardingsphere:4.0.0:rc3:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.88982

Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-502

Связанные уязвимости

GHSA-v54f-xcmp-43cr