一、概要

近日，华为云关注到Apache SkyWalking官方发布最新SkyWalking 8.10版本，修复了一处SQL注入漏洞（CVE-2020-13921）。当将H2 / MySQL / TiDB用作Apache SkyWalking存储时，在特定的SkyWalking版本中，通配符查询案例存在SQL注入漏洞，攻击者可通过发送特制的请求包进行SQL注入，从而导致数据库信息泄露风险。

华为云提醒使用Apache SkyWalking用户及时安排自检并做好安全加固。

参考链接：

https://thub.com/apache/skywalking/pull/4970

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache SkyWalking 8.0.0 ~ 8.0.1

Apache SkyWalking 7.0.0

Apache SkyWalking 6.0.0 ~ 6.6.0

安全版本：

Apache SkyWalking 8.1.0

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

下载地址：https://github.com/apache/skywalking/releases

目前，华为云WAF已具备对该漏洞攻击的防御能力，华为云WAF用户将Web基础防护的状态设置为“拦截”模式即可，具体方法请参见 配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。