【安全通告】Apache SkyWalking SQL 注入漏洞安全风险通告
一、 漏洞概要
- 影响用户
- Apache SkyWalking用户
- 漏洞危害
高危
- 漏洞影响
- 在SkyWalking多个版本中,存在默认开放的未授权GraphQL接口,攻击者可以构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。
- 影响版本
- Apache SkyWalking 6.0.0 - 6.6.0
- Apache SkyWalking 7.0.0
- Apache SkyWalking 8.0.0 - 8.0.1
二、漏洞详情
在SkyWalking多个版本中,存在默认开放的未授权GraphQL接口,通过该接口,攻击者可以构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。
三、修复办法
- 推荐方案:升级到 Apache SkyWalking 8.1.0 或更新版本。
- 如暂时无法升级,作为缓解措施,建议不要将Apache SkyWalking的GraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。
四、参考资料
*http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202008-152