Apache SkyWalking 存储型 XSS 漏洞安全警报（CVE-2025-54057）

安全警报：Apache SkyWalking 存储型 XSS 漏洞（CVE-2025-54057）

Apache SkyWalking，这一广泛应用于云原生架构分布式系统的开源应用性能监控（APM）系统，已发布关键安全更新。该项目修补了一个存储型跨站脚本（XSS）漏洞，该漏洞可能允许攻击者入侵仪表板并危及查看仪表板的管理员。

该漏洞被追踪为 CVE-2025-54057，被归类为“重要”级别，涉及网页中“脚本相关 HTML 标签的不当中和”。

与需要受害者点击特定链接的反射型 XSS 不同，存储型 XSS 尤其危险，因为恶意脚本被永久保存在目标服务器上（在此情况下，可能保存在 SkyWalking OAP 服务器或 UI 配置中）。当管理员或用户打开受影响的仪表板或页面时，恶意脚本会在其浏览器中自动执行。

虽然官方公告强调了基本的 XSS 问题，但外部分析表明，该漏洞具体涉及对小部件 URL 的验证不足，允许攻击者注入持久存在于监控界面中的恶意负载。

该漏洞由安全研究员 Vinh Nguyễn Quang 报告。

对于像 SkyWalking 这样提供“监控、跟踪和诊断能力”的 APM 工具来说，存储型 XSS 漏洞带来了独特的风险。攻击者可能：

• 劫持会话：窃取查看受感染小部件的管理员的会话 cookie。

• 重定向用户：强制用户访问恶意的外部站点。

• 操纵数据：更改指标的可视化，以隐藏恶意活动或制造虚假警报。

Apache SkyWalking 团队已在 10.3.0 版本中发布了修复程序。强烈建议运行包括 10.2.0 及以下版本的所有用户立即升级以减轻此风险。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享