安全警报:Apache SkyWalking存储型XSS漏洞(CVE-2025-54057)
Apache SkyWalking,这一广泛应用于云原生架构分布式系统的开源应用性能监控(APM)系统,已发布关键安全更新。该项目修补了一个存储型跨站脚本(XSS)漏洞,该漏洞可能允许攻击者入侵仪表板并危及查看仪表板的管理员。
该漏洞被追踪为CVE-2025-54057,被归类为“重要”级别,涉及网页中“脚本相关HTML标签的不当中和”。
与需要受害者点击特定链接的反射型XSS不同,存储型XSS尤其危险,因为恶意脚本被永久保存在目标服务器上(在此情况下,可能保存在SkyWalking OAP服务器或UI配置中)。当管理员或用户打开受影响的仪表板或页面时,恶意脚本会在其浏览器中自动执行。
虽然官方公告强调了基本的XSS问题,但外部分析表明,该漏洞具体涉及对小部件URL的验证不足,允许攻击者注入持久存在于监控界面中的恶意负载。
该漏洞由安全研究员Vinh Nguyễn Quang报告。
对于像SkyWalking这样提供“监控、跟踪和诊断能力”的APM工具来说,存储型XSS漏洞带来了独特的风险。攻击者可能:
- 劫持会话:窃取查看受感染小部件的管理员的会话cookie。
- 重定向用户:强制用户访问恶意的外部站点。
- 操纵数据:更改指标的可视化,以隐藏恶意活动或制造虚假警报。
Apache SkyWalking团队已在10.3.0版本中发布了修复程序。强烈建议运行包括10.2.0及以下版本的所有用户立即升级以减轻此风险。
