发布时间:2020-08-11 23:49:18,来源:上海观安、 深信服、 中国信通院
一、基本情况
近日,监测发现Apache发布了Apache SkyWalking存在SQL注入漏洞(CVE-2020-13921)的风险通告。攻击者通过构造恶意的请求包进行SQL注入,利用该漏洞获取用户数据库敏感信息。
二、漏洞详情
Apache SkyWalking是一个开源应用程序性能监视系统,对微服务、云原生和容器化应用提供自动化、高性能的监控方案,它能够监视、跟踪和诊断云原生架构中的分布式系统。
该漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存储实现缺少对外部输入SQL语句的验证,攻击者使用默认开放的未授权GraphQL接口,构造恶意的请求包进行SQL注入,窃取用户数据库敏感信息。
三、影响范围
Apache SkyWalking 6.0.0~6.6.0
Apache SkyWalking 7.0.0
Apache SkyWalking 8.0.0~8.0.1
四、处置建议
目前官方已发布新版本修复该漏洞,建议用户尽快下载并安装。
https://github.com/apache/skywalking/releases
五、参考链接
http://www.openwall.com/lists/oss-security/2020/08/05/3