Apache SkyWalking 中存在漏洞，可导致攻击者发起跨站脚本攻击

Apache SkyWalking（一款流行的应用性能监控工具）近期被发现存在一个漏洞，攻击者可利用该漏洞执行恶意脚本并发起 跨站脚本（XSS）攻击。

该漏洞编号为 CVE-2025-54057，影响所有版本的 SkyWalking，直至 10.2.0 版本。

漏洞概述

该漏洞属于“存储型 XSS（跨站脚本）”问题。这意味着攻击者可将恶意代码注入网页，当其他用户查看该网页时，代码会在其浏览器中执行。

这可能导致多种安全问题，包括窃取登录凭据和个人数据等敏感信息。

该漏洞的成因是网页中 未正确过滤与脚本相关的 HTML 标签，使得攻击者能够注入并存储恶意脚本。

此安全缺陷的严重性级别被评为“重要”。一旦被利用，攻击者可能 未授权访问用户账户、冒充用户或篡改网站。对于使用 Apache SkyWalking 监控其应用程序的组织而言，数据被盗的可能性是一个重大隐患。成功的攻击可能会危及整个应用程序及其数据。

Apache SkyWalking 10.2.0 及之前的所有版本 均受此漏洞影响。SkyWalking 开发团队已在 10.3.0 版本中发布补丁。

强烈建议所有 Apache SkyWalking 用户 立即升级到最新版本，以保护其系统免受潜在攻击。升级到新版本是缓解此漏洞风险的唯一方法。

该漏洞由安全研究员 Vinh Nguyễn Quang 发现并报告。Apache 软件基金会接到通知后，开发并发布了修复程序。

此漏洞的披露凸显了开源社区在识别和解决安全问题方面的重要性。