Một lỗ hổng bảo mật XSS Stored (Cross-Site Scripting) nghiêm trọng vừa được phát hiện trong Apache SkyWalking, công cụ giám sát hiệu suất ứng dụng phổ biến. Lỗ hổng được định danh là CVE-2025-54057, cho phép kẻ tấn công tiêm và lưu trữ script độc hại vào giao diện web, từ đó có thể đánh cắp dữ liệu nhạy cảm hoặc mạo danh người dùng.

Mối đe dọa này ảnh hưởng đến tất cả các phiên bản SkyWalking lên đến 10.2.0, buộc các tổ chức sử dụng phải hành động khẩn cấp để bảo vệ ứng dụng và dữ liệu đang được giám sát.

Lỗ hổng CVE-2025-54057 được đánh giá ở mức Important và nằm ở cơ chế xử lý các thẻ HTML liên quan đến script trên trang web. Do improper neutralization, kẻ tấn công có thể chèn các đoạn mã độc vào các trường dữ liệu, khiến chúng được Stored XSS. Khi bất kỳ người dùng nào khác, đặc biệt là người quản trị, truy cập vào trang đó, script độc hại sẽ auto running trong trình duyệt của họ.

Hậu quả của việc khai thác thành công là rất lớn. Kẻ tấn công có thể đánh cắp thông tin login của user, thực hiện các hành động trái phép bằng cách impersonate the current user, hoặc thậm chí làm tổn hại đến toàn bộ ứng dụng đang được SkyWalking giám sát. Nguy cơ đánh cắp dữ liệu nhạy cảm là mối lo ngại hàng đầu đối với các tổ chức dựa vào công cụ giám sát này.

Lỗ hổng này đã được nhà nghiên cứu bảo mật Vinh Nguyễn Quang phát hiện và báo cáo tới Apache Software Foundation. Đội ngũ phát triển SkyWalking đã nhanh chóng phản ứng bằng việc phát hành bản vá trong phiên bản 10.3.0. Tất cả người dùng đang sử dụng các phiên bản cũ hơn, bao gồm cả 10.2.0, được khuyến nghị nâng cấp lên phiên bản 10.3.0 ngay lập tức để loại bỏ hoàn toàn rủi ro bảo mật tiềm ẩn do CVE-2025-54057 gây ra.