Apache SkyWalkingにおけるセキュリティ上の欠陥
人気のアプリケーションパフォーマンス監視ツールであるApache SkyWalkingにおいて、攻撃者が悪質なスクリプトを実行し、クロスサイトスクリプティング(XSS)攻撃を仕掛けることを可能にする脆弱性が最近発見されました。この欠陥はCVE-2025-54057として識別されており、バージョン10.2.0までのすべてのSkyWalkingに影響を及ぼします。
脆弱性の概要
この脆弱性は「保存型XSS」(Stored XSS)の問題です。これは、攻撃者が悪意のあるコードをウェブページに注入し、他のユーザーがそのページを閲覧した際に、そのコードがブラウザで実行されることを意味します。これにより、ログイン資格情報や個人データなどの機密情報の窃盗を含む様々なセキュリティ問題が発生する可能性があります。
この脆弱性は、ウェブページにおけるスクリプト関連のHTMLタグの不適切な無害化に起因しており、攻撃者が悪質なスクリプトを注入および保存することを許します。セキュリティ上の欠陥は「重要(Important)」なものと評価されています。
- 攻撃者がユーザーアカウントへの不正アクセスを得る
- ユーザーを偽装する
- ウェブサイトを改ざんする
- データ窃盗の可能性
これらの潜在的な影響は、Apache SkyWalkingを使用してアプリケーションを監視している組織にとって重大な懸念事項です。悪用が成功した場合、アプリケーション全体とそのデータが危険にさらされる可能性があります。
影響を受けるバージョンと対策
Apache SkyWalkingのバージョン10.2.0までがこの脆弱性の影響を受けます。SkyWalking開発チームはすでにバージョン10.3.0でパッチをリリースしています。Apache SkyWalkingの全ユーザーは、システムを潜在的な攻撃から保護するために、直ちにこの最新バージョンにアップグレードすることが強く推奨されます。この脆弱性によるリスクを軽減する唯一の方法は、新しいバージョンへのアップグレードです。
発見と開示
この脆弱性は、セキュリティ研究者であるVinh Nguyễn Quang氏によって発見され、報告されました。Apache Software Foundationに通知され、修正が開発・リリースされました。この脆弱性の開示は、セキュリティ問題の特定と対処におけるオープンソースコミュニティの重要性を浮き彫りにしています。