Apache SkyWalking SQL注入漏洞(CVE-2020-9483)

来源:scanv2020.06.21

一 漏洞概述

Apache SkyWalking发布更新修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大,知道创宇建议客户尽快自查修复。
Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。

二 影响版本

Apache SkyWalking 6.0.0至6.6.0

Apache SkyWalking 7.0.0

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache httpd” 进行搜索,共得到 172,293,102 条 IP 历史记录,主要分布在美国等国家。

五 修复建议

建议尽快升级Apache SkyWalking至8.0版,升级链接如下:https://github.com/apache/skywalking/releases

注意:如暂时无法升级,建议不要将Apache SkyWalking的GraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。

六 时间线

知道创宇发布漏洞情报时间:2020年6月21日

七 相关链接

openwall:https://www.openwall.com/lists/oss-security/2020/06/15/1

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult/report?q=app%3A%22Apache%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态