一、漏洞详情
Apache发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。攻击者可通过构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行。建议受影响用户将Skywalking升级至8.4.0版本,做好资产自查以及预防工作,以免遭受黑客攻击。
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。
该漏洞存在于Apache Skywalking 8.4.0之前版本的某Graphql接口中,攻击者可通过构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行。
二、影响范围
Apache Skywalking < 8.4.0
三、修复建议
目前官方已发布安全版本修复该漏洞,建议受影响用户及时安装新版本。
下载地址:
https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/