关于apisix:Apache-APISIX-Dashboard-未授权访问漏洞公告CVE202145232

42次阅读

共计 761 个字符,预计需要花费 2 分钟才能阅读完成。

问题形容

攻击者无需登录 Apache APISIX Dashboard 即可拜访某些接口,从而进行未受权更改或获取 Apache APISIX Route、Upstream、Service 等相干配置信息,并造成 SSRF、攻击者搭建歹意流量代理和任意代码执行等问题。

影响版本

Apache APISIX Dashboard 2.7 – 2.10 版本

解决方案

请及时更新至 Apache APISIX Dashboard 2.10.1 及以上版本。

平安倡议

倡议用户及时更改默认用户名与明码,并限度起源 IP 拜访 Apache APISIX Dashboard。

破绽详情

破绽公开工夫:2021 年 12 月 27 日

CVE 详细信息:https://nvd.nist.gov/vuln/det…

贡献者简介

该破绽由源堡科技平安团队的朱禹成发现,并向 Apache 软件基金会上报该破绽。感激各位对 Apache APISIX 社区的奉献。

对于 Apache APISIX

Apache APISIX 是一个动静、实时、高性能的开源 API 网关,提供负载平衡、动静上游、灰度公布、服务熔断、身份认证、可观测性等丰盛的流量治理性能。

Apache APISIX 能够帮忙企业疾速、平安地解决 API 和微服务流量,包含网关、Kubernetes Ingress 和服务网格等。目前已被普华永道数据安全团队、腾讯蓝军、安全河汉实验室、爱奇艺 SRC 和源堡科技平安团队等业余网络安全机构测试,并给予了高度认可。

Apache APISIX 落地用户(仅局部)

  • Apache APISIX GitHub:https://github.com/apache/apisix
  • Apache APISIX 官网:https://apisix.apache.org/
  • Apache APISIX 文档:https://apisix.apache.org/zh/…
正文完
 0