Apache SkyWalking 爆SQL注入漏洞，腾讯安全发布解决方案

Apache SkyWalking 是一款应用性能监控工具，对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示，大量的国内互联网、银行、民航等领域的公司在使用此工具。腾讯安全团队监测到Apache SkyWalking发布更新，修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入，成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大，建议企业尽快修复。如暂时无法升级，作为缓解措施，建议不要将Apache SkyWalking的GraphQL接口暴露在外网，或在GraphQL接口之上增加一层认证。推荐企业用户采取腾讯安全产品检测并拦截利用Apache SkyWalking SQL注入漏洞的攻击。