Apache SkyWalking SQL注入漏洞(CVE-2020-13921)

来源:scanv2020.08.06

一 漏洞概述

2020年8月5日,Apache官方发布公告,修复了一个Apache SkyWalking SQL注入漏洞(CVE-2020-13921)。该漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存储实现存在SQL注入漏洞,攻击者使用默认开放的未授权GraphQL接口,构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。

Apache SkyWalking是美国阿帕奇软件(Apache Software)基金会的一款主要用于微服务、云原生和基于容器等环境的应用程序性能监视器。

二 影响版本

Apache SkyWalking 6.5.0、6.6.0、 7.0.0、 8.0.0、 8.0.1

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache” 进行搜索,共得到 172,045,825 条 IP 历史记录,主要分布在美国等国家。

五 修复建议

Apache官方已经发布漏洞修复版本Apache SkyWalking 8.1.0

下载地址:http://skywalking.apache.org/downloads/

六 时间线

Apache官方发布通告时间:2020年8月5日

知道创宇发布漏洞情报时间:2020年8月6日

七 相关链接

Apache:

https://lists.apache.org/thread.html/r6f3a934ebc54585d8468151a494c1919dc1ee2cccaf237ec434dbbd6@%3Cdev.skywalking.apache.org%3E

ZoomEye 网络空间搜索引擎:

https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22

热门文章

关注知道创宇云安全

获取安全动态