Uma vulnerabilidade recentemente descoberta no Apache SkyWalking, uma ferramenta popular de monitoramento de desempenho de aplicativos, pode permitir que invasores executem scripts maliciosos e iniciem scripts entre sites (XSS) ataques.
A falha, identificada como CVE-2025-54057, afeta todas as versões do SkyWalking até a 10.2.0.
| ID do CVE | Descrição | Gravidade | Versões afetadas |
|---|---|---|---|
| CVE-2025-54057 | Vulnerabilidade XSS armazenada no Apache SkyWalking | Importante | Até 10.2.0 |
Visão geral da vulnerabilidade
A vulnerabilidade é um problema de “XSS armazenado” (Cross-Site Scripting). Isso significa que um invasor pode injetar código malicioso em uma página da Web e, quando outros usuários o visualizarem, o código será executado em seus navegadores.
Isto pode levar a vários problemas de segurança, incluindo o roubo de informações confidenciais, como credenciais de login e dados pessoais.
A vulnerabilidade se deve à neutralização inadequada de informações relacionadas ao script HTML tags na página da web, permitindo que invasores injetem e armazenem scripts maliciosos.
A falha de segurança foi classificada como “importante” em gravidade. Se explorados, os invasores poderão obter acesso não autorizado às contas dos usuários, personificar usuários ou desfigurar sites.
O potencial de roubo de dados é uma preocupação significativa para organizações que usam o Apache SkyWalking para monitorar seus aplicativos.
A exploração bem-sucedida pode comprometer todo o aplicativo e seus dados.
Versões do Apache SkyWalking até 10.2.0 inclusive são afetadas por esta vulnerabilidade. A equipe de desenvolvimento do SkyWalking já lançou um patch na versão 10.3.0.
Todos os usuários do Apache SkyWalking são fortemente aconselhados a atualizar imediatamente para esta versão mais recente para proteger seus sistemas contra possíveis ataques.
Atualizar para a nova versão é a única forma de mitigar o risco representado por esta vulnerabilidade.
A vulnerabilidade foi descoberto e relatado pelo pesquisador de segurança Vinh Nguyễn Quang. A Apache Software Foundation foi notificada e uma correção foi desenvolvida e lançada.
A divulgação desta vulnerabilidade destaca a importância da comunidade de código aberto na identificação e resolução de problemas de segurança.
Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.