Plateforme
java
Composant
skywalking
Corrigé dans
10.3.1
10.4.0
La vulnérabilité CVE-2026-30778 concerne Apache SkyWalking, où l'endpoint /debugging/config/dump peut révéler des informations de configuration sensibles relatives aux bases de données MySQL et PostgreSQL. Cette fuite d'informations peut compromettre la sécurité des systèmes connectés. Elle affecte les versions de SkyWalking comprises entre 9.7.0 et 10.3.0. Une version corrigée, 10.4.0, est disponible pour remédier à ce problème.
La vulnérabilité CVE-2026-30778 dans Apache SkyWalking affecte les versions de 9.7.0 à 10.3.0. Elle permet de divulguer des informations de configuration sensibles de bases de données MySQL et PostgreSQL via le point de terminaison /debugging/config/dump dans l'OAP (Observability Analysis Platform) de SkyWalking. Ces informations peuvent inclure des mots de passe, des noms d'utilisateur et d'autres détails de configuration, qui, si compromis, pourraient permettre à un attaquant d'accéder aux bases de données sous-jacentes et de manipuler les données stockées, voire d'obtenir un accès au système. La gravité de cette vulnérabilité réside dans la facilité avec laquelle un attaquant peut accéder à ces informations s'il a un accès réseau à l'endroit où SkyWalking est exécuté.
La vulnérabilité est exploitée via une simple requête HTTP vers le point de terminaison /debugging/config/dump. L'authentification n'est pas requise pour accéder à ce point de terminaison, ce qui signifie que toute personne ayant un accès réseau à l'endroit où SkyWalking est exécuté peut potentiellement exploiter la vulnérabilité. L'attaquant a simplement besoin d'envoyer une requête GET vers le point de terminaison et les informations de configuration MySQL/PostgreSQL seront renvoyées en texte clair. La facilité d'exploitation rend cette vulnérabilité particulièrement préoccupante, en particulier dans les environnements où SkyWalking s'exécute sur des réseaux publics ou partagés.
Organizations utilizing Apache SkyWalking for application performance monitoring (APM) and distributed tracing, particularly those integrating with MySQL or PostgreSQL databases, are at risk. Environments with exposed SkyWalking OAP servers or those lacking robust access controls are especially vulnerable.
• java / server:
ps aux | grep -i skywalking• generic web:
curl -I http://<skywalking_oap_ip>/debugging/config/dump• generic web:
grep -i "/debugging/config/dump" /etc/skywalking/config.yamldisclosure
Statut de l'Exploit
EPSS
0.04% (percentile 11%)
La solution recommandée pour atténuer CVE-2026-30778 est de mettre à niveau Apache SkyWalking vers la version 10.4.0 ou supérieure. Cette version inclut une correction qui empêche la divulgation d'informations de configuration sensibles. En attendant, comme mesure temporaire, il est recommandé de désactiver le point de terminaison /debugging/config/dump dans l'OAP de SkyWalking. Cela peut être fait en modifiant la configuration de l'OAP pour supprimer ou restreindre l'accès à ce point de terminaison. Il est crucial d'appliquer cette mise à niveau ou mesure temporaire dès que possible pour protéger votre environnement SkyWalking et prévenir les attaques potentielles.
Actualice a la versión 10.4.0 de Apache SkyWalking para evitar la posible fuga de información de configuración sensible de MySQL/PostgreSQL a través del endpoint /debugging/config/dump. Esta vulnerabilidad permite a atacantes acceder a datos confidenciales almacenados en la configuración de la base de datos. La actualización es la solución recomendada para mitigar el riesgo.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-30778 is a vulnerability in Apache SkyWalking versions 9.7.0–10.3.0 where the /debugging/config/dump endpoint can leak sensitive MySQL/PostgreSQL configuration data.
If you are running Apache SkyWalking versions 9.7.0 through 10.3.0 and have not upgraded, you are potentially affected by this vulnerability.
Upgrade Apache SkyWalking to version 10.4.0 or later to resolve this configuration leak vulnerability. Temporarily disabling the /debugging/config/dump endpoint is a workaround.
As of the last update, there are no known active exploits or campaigns targeting CVE-2026-30778.
Refer to the official Apache SkyWalking security advisories and release notes for detailed information and updates regarding CVE-2026-30778.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.