一、漏洞详情

Apache ShardingSphere是关系型数据库中间件，可将任何数据库转换为分布式数据库系统，并通过分片、弹性扩展、加密功能等对其进行增强。

近日，监测到官方发布了Apache ShardingSphere身份认证绕过漏洞(CVE-2022-45347)，Apache ShardingSphere-Proxy在使用MySQL作为后端数据库时，在客户端认证失败后并没有完全清理数据库会话，这使得攻击者可以通过构造一个特殊的MySQL客户端来绕过身份认证并执行命令。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache ShardingSphere < 5.3.0

三、修复建议

目前Apache ShardingSphere官方已发布安全版本修复该漏洞，建议受影响用户尽快更新至对应的安全版本。

https://github.com/apache/shardingsphere/releases