首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-13921 | Apache SkyWalking SQL注入漏洞通告

發布時間 2020-08-06

0x00 漏洞概述


CVE   ID

CVE-2020-13921

   

2020-08-06

  

SQL

   

高危

遠程利用

影響范圍

Apache SkyWalking 6.5.0、6.6.0、 7.0.0、 8.0.0、 8.0.1


0x01 漏洞詳情




Apache SkyWalking是美國阿帕奇軟件(Apache Software)基金會的一款主要用于微服務、云原生和基于容器等環境的應用程序性能監視器。

2020年8月5日,Apache官方發布公告,修復了一個Apache SkyWalking SQL注入漏洞(CVE-2020-13921)。該漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存儲實現存在SQL注入漏洞,攻擊者使用默認開放的未授權GraphQL接口,構造惡意的請求包進行SQL注入,從而導致用戶數據庫敏感信息泄露。


0x02 處置建議


Apache官方已經發布漏洞修復版本Apache SkyWalking 8.1.0,下載地址:

http://skywalking.apache.org/downloads/


0x03 相關新聞


https://www.tenable.com/cve/CVE-2020-13921


0x04 參考鏈接


https://lists.apache.org/thread.html/r6f3a934ebc54585d8468151a494c1919dc1ee2cccaf237ec434dbbd6@%3Cdev.skywalking.apache.org%3E


0x05 時間線


2020-08-05 Apache官方發布公告

2020-08-06 VSRC發布漏洞通告





上一篇 下一篇