Apache SkyWalking SQL注入漏洞 (CVE-2020-13921) 预警

一、基本情况

近日，监测发现Apache发布了Apache SkyWalking存在SQL注入漏洞（CVE-2020-13921）的风险通告。攻击者通过构造恶意的请求包进行SQL注入，利用该漏洞获取用户数据库敏感信息。

二、漏洞详情

Apache SkyWalking是一个开源应用程序性能监视系统，对微服务、云原生和容器化应用提供自动化、高性能的监控方案，它能够监视、跟踪和诊断云原生架构中的分布式系统。

该漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存储实现缺少对外部输入SQL语句的验证，攻击者使用默认开放的未授权GraphQL接口，构造恶意的请求包进行SQL注入，窃取用户数据库敏感信息。

三、影响范围

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0

Apache SkyWalking 8.0.0~8.0.1

四、处置建议

目前官方已发布新版本修复该漏洞，建议用户尽快下载并安装。

https://github.com/apache/skywalking/releases

五、参考链接

http://www.openwall.com/lists/oss-security/2020/08/05/3

支持单位：

上海观安信息技术股份有限公司

深信服科技股份有限公司

中国信息通信研究院

声明：本文来自网络安全威胁信息共享平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。