近日,Apache Skywalking官方发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。
01
漏洞情况
Apache SkyWalking是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。
Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行。
02
影响范围
Apache Skywalking < v8.4.0
03
处置建议
目前,Apache Skywalking官方已发布版本更新修复了漏洞,请广大用户及时确认版本信息,尽快采取修补措施。
附件:参考链接:https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/
