【漏洞分析】Apache ShardingSphere-Proxy ＜5.3.0 身份认证绕过

2022年12月22日，Apache 官方公告发布 ShardingSphere-Proxy 5.3.0 之前版本存在身份绕过漏洞（CVE-2022-45347）。当 ShardingSphere-Proxy 使用 MySQL 作为后端数据库时，由于 ShardingSphere-Proxy 在客户端认证失败后没有完全清理数据库会话信息，攻击者可利用未关闭的会话信息绕过 ShardingSphere-Proxy 的 MySQL 身份验证，执行任意 sql 命令。