【安全通告】Apache SkyWalking SQL 注入漏洞安全风险通告

【安全通告】Apache SkyWalking SQL 注入漏洞安全风险通告

一、 漏洞概要

  • 影响用户
    • Apache SkyWalking用户
  • 漏洞危害
    • 高危
  • 漏洞影响
    • 在SkyWalking多个版本中,存在默认开放的未授权GraphQL接口,攻击者可以构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。
  • 影响版本
    • Apache SkyWalking 6.0.0 - 6.6.0
    • Apache SkyWalking 7.0.0
    • Apache SkyWalking 8.0.0 - 8.0.1

二、漏洞详情

在SkyWalking多个版本中,存在默认开放的未授权GraphQL接口,通过该接口,攻击者可以构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。

三、修复办法

- 推荐方案:升级到 Apache SkyWalking 8.1.0 或更新版本。
- 如暂时无法升级,作为缓解措施,建议不要将Apache SkyWalking的GraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。

四、参考资料

*http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-152