В популярном инструменте мониторинга производительности приложений Apache SkyWalking обнаружена критическая уязвимость, позволяющая злоумышленникам выполнять вредоносные сценарии и проводить межсайтовые скриптинговые атаки. Дефект безопасности, получивший идентификатор CVE-2025-54057, затрагивает все версии платформы вплоть до 10.2.0 включительно.
Детали уязвимости
Уязвимость представляет собой хранимый межсайтовый скриптинг (Stored XSS), что означает возможность внедрения злонамеренного кода непосредственно в веб-страницу. Специалисты по кибербезопасности поясняют, что при таком типе атаки вредоносный код сохраняется на сервере и автоматически выполняется в браузерах всех пользователей, просматривающих скомпрометированную страницу. Это создает серьезные риски для конфиденциальности данных и целостности систем.
Основная причина уязвимости заключается в недостаточной нейтрализации HTML-тегов, связанных со сценариями, на веб-страницах платформы. Технический анализ показывает, что злоумышленники могут инъектировать и сохранять вредоносные скрипты через различные элементы интерфейса SkyWalking. Следовательно, атаки возможны без необходимости непосредственного взаимодействия с пользователями.
Эксперты оценили серьезность данной уязвимости как "важную" (Important). При успешной эксплуатации злоумышленники могут получать несанкционированный доступ к учетным записям пользователей, impersonate легитимных пользователей или осуществлять дефейс веб-сайтов. Особую озабоченность вызывает потенциал кражи конфиденциальной информации, включая учетные данные для входа и персональные данные.
Потенциальное воздействие на организации, использующие Apache SkyWalking для мониторинга приложений, может быть значительным. Успешная атака способна привести к компрометации всего приложения и связанных с ним данных. Более того, хранимый XSS особенно опасен, поскольку вредоносный код продолжает работать даже после завершения первоначальной атаки.
Уязвимость затрагивает все версии Apache SkyWalking до 10.2.0 включительно. Разработчики платформы уже выпустили исправление в версии 10.3.0. Соответственно, всем пользователям системы настоятельно рекомендуется немедленно обновиться до последней версии для защиты от потенциальных атак. Обновление до новой версии является единственным эффективным способом устранения рисков, связанных с данной уязвимостью.
Обнаружение данной уязвимости приписывается исследователю безопасности Винь Нгуен Куангу (Vinh Nguyễn Quang), который своевременно уведомил Apache Software Foundation о найденном дефекте. Фонд оперативно разработал и выпустил соответствующий патч. Этот инцидент демонстрирует важность сотрудничества между независимыми исследователями безопасности и разработчиками open-source проектов.
Данное раскрытие уязвимости подчеркивает сохраняющуюся актуальность проблем межсайтового скриптинга в современных веб-приложениях. Несмотря на то, что XSS-атаки известны уже много лет, они продолжают представлять серьезную угрозу для безопасности web-приложений. Организациям рекомендуется не только своевременно применять обновления безопасности, но и регулярно проводить аудит безопасности собственных веб-приложений.
Apache SkyWalking остается одним из наиболее популярных решений для мониторинга производительности распределенных систем с открытым исходным кодом. Платформа широко используется для наблюдения за работой микросервисных архитектур и облачных приложений. Следовательно, своевременное устранение уязвимостей в таких инструментах имеет критическое значение для обеспечения безопасности целых экосистем приложений.
Специалисты по кибербезопасности отмечают, что хотя обновление до версии 10.3.0 полностью устраняет данную конкретную уязвимость, организациям следует применять комплексный подход к безопасности. Рекомендуется реализовать дополнительные меры защиты, такие как Content Security Policy (CSP), которые могут помочь mitigate потенциальные XSS-атаки в будущем. Кроме того, регулярное обучение разработчиков безопасным практикам программирования остается важным элементом профилактики подобных уязвимостей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54057
- https://lists.apache.org/thread/sl2x2tx8y007x0mo746yddx2lvnv9tcr
- http://www.openwall.com/lists/oss-security/2025/11/27/1
