一 漏洞概述

Apache SkyWalking发布更新修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入，成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大，知道创宇建议客户尽快自查修复。
Apache SkyWalking 是一款应用性能监控（APM）工具，对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示，大量的国内互联网、银行、民航等领域的公司在使用此工具。

二 影响版本

Apache SkyWalking 6.0.0至6.6.0

Apache SkyWalking 7.0.0

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache httpd” 进行搜索，共得到 172,293,102 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

建议尽快升级Apache SkyWalking至8.0版，升级链接如下：https://github.com/apache/skywalking/releases

注意：如暂时无法升级，建议不要将Apache SkyWalking的GraphQL接口暴露在外网，或在GraphQL接口之上增加一层认证。

六 时间线

知道创宇发布漏洞情报时间：2020年6月21日

七 相关链接

openwall：https://www.openwall.com/lists/oss-security/2020/06/15/1

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22