高危 Apache SkyWalking queryLog SQL注入漏洞
CVE编号
N/A利用情况
EXP 已公开补丁情况
官方补丁披露时间
2022-01-01漏洞描述
Apache Skywalking 是专门为微服务架构和云原生架构系统而设计并且支持分布式链路追踪的APM系统。 Skywalking历史上存在两次sql注入漏洞,CVE-2020-9483、CVE-2020-13921。经过源码分析,发现两次sql注入漏洞修复并不完善,仍存在一处sql注入漏洞。(该请求无页面入口,需要根据graphql配置文件手动进行请求构造,或许这就是官方遗漏该注入点的原因)。解决建议
1.升级Apache Skywalking 到最新版本;2.将默认h2数据库替换为其它支持的数据库。
参考链接 |
|
|---|---|
| https://mp.weixin.qq.com/s/hB-r523_4cM0jZMBOt6Vhw |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 全局影响
- EXP成熟度 EXP 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论