0x01 漏洞详情

Apache SkyWalking是美国阿帕奇软件（Apache Software）基金会的一款主要用于微服务、云原生和基于容器等环境的应用程序性能监视器。

2020年8月5日，Apache官方发布公告，修复了一个Apache SkyWalking SQL注入漏洞（CVE-2020-13921）。该漏洞源于Apache SkyWalking中的H2/MySQL/TiDB存储实现存在SQL注入漏洞，攻击者使用默认开放的未授权GraphQL接口，构造恶意的请求包进行SQL注入，从而导致用户数据库敏感信息泄露。

0x02 处置建议

Apache官方已经发布漏洞修复版本Apache SkyWalking 8.1.0，下载地址：

http://skywalking.apache.org/downloads/

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-13921

0x04 参考链接

https://lists.apache.org/thread.html/r6f3a934ebc54585d8468151a494c1919dc1ee2cccaf237ec434dbbd6@%3Cdev.skywalking.apache.org%3E