CVE-2020-13921 | Apache SkyWalking SQL注入漏洞通告
发布时间 2020-08-060x00 漏洞概述
CVE ID |
CVE-2020-13921 |
时 间 |
2020-08-06 |
类 型 |
SQL |
等 级 |
高危 |
远程利用 |
是 |
影响范围 |
Apache SkyWalking 6.5.0、6.6.0、 7.0.0、 8.0.0、 8.0.1 |
0x01 漏洞详情
Apache SkyWalking是美国阿帕奇软件(Apache Software)基金会的一款主要用于微服务、云原生和基于容器等环境的应用程序性能监视器。
2020年8月5日,Apache官方发布公告,修复了一个Apache SkyWalking SQL注入漏洞(CVE-2020-13921)。该漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存储实现存在SQL注入漏洞,攻击者使用默认开放的未授权GraphQL接口,构造恶意的请求包进行SQL注入,从而导致用户数据库敏感信息泄露。
0x02 处置建议
Apache官方已经发布漏洞修复版本Apache SkyWalking 8.1.0,下载地址:
http://skywalking.apache.org/downloads/
0x03 相关新闻
https://www.tenable.com/cve/CVE-2020-13921
0x04 参考链接
https://lists.apache.org/thread.html/r6f3a934ebc54585d8468151a494c1919dc1ee2cccaf237ec434dbbd6@%3Cdev.skywalking.apache.org%3E
0x05 时间线
2020-08-05 Apache官方发布公告
2020-08-06 VSRC发布漏洞通告