温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

怎样进行Apache SkyWalking SQL注入漏洞CVE-2020-13921的分析

发布时间:2021-12-27 18:45:59 来源:亿速云 阅读:181 作者:柒染 栏目:安全技术

这篇文章将为大家详细讲解有关怎样进行Apache SkyWalking SQL注入漏洞CVE-2020-13921的分析,文章内容质量较高,因此小编分享给大家做个参考,希望大家阅读完这篇文章后对相关知识有一定的了解。

Apache SkyWalking组件介绍

SkyWalking 是观察性分析平台和应用性能管理系统。提供分布式追踪、服务网格遥测分析、度量聚合和可视化一体化解决方案。支持Java, .Net Core, PHP, NodeJS, Golang, LUA语言探针。支持Envoy + Istio构建的Service Mesh。其具有多种监控手段、语言探针和service mesh;轻量高效不需要大数据;模块化设计,UI、存储、集群管理多种机制可选;六种语言自动探针;支持告警;提供优秀的可视化方案的特性,在国内互联网、银行、民航等领域有极其广泛的应用。

漏洞描述

近日Apache SkyWalking官方发布了最新的SkyWalking 8.1.0版本,修复了一个SQL注入漏洞(CVE-2020-13921)。在SkyWalking多个版本中,默认开放未授权GraphQL接口,当H2 / MySQL / TiDB用作Apache SkyWalking存储时,攻击者可构造通配符查询语句进行SQL注入,从而导致用户的数据库敏感信息泄露。

漏洞复现

向有该漏洞的Apache Skywalking环境发送特殊构造的HTTP请求,可以看到数据库错误回显,效果如下:

怎样进行Apache SkyWalking SQL注入漏洞CVE-2020-13921的分析

影响范围

目前受影响的Apache SkyWalking版本:

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0

Apache SkyWalking 8.0.0~8.0.1

修复建议

目前厂商已在SkyWalking 8.1.0版本修复该漏洞,参考链接:

https://github.com/apache/skywalking/releases

关于怎样进行Apache SkyWalking SQL注入漏洞CVE-2020-13921的分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI