关于网关:Apache-APISIX-存在改写-XREALIP-header-的风险公告CVE202224112

38次阅读

共计 685 个字符,预计需要花费 2 分钟才能阅读完成。

问题形容

在 Apache APISIX 2.12.1 之前的版本中(不蕴含 2.12.1 和 2.10.4),启用 Apache APISIX batch-requests 插件之后,会存在改写 X-REAL-IP header 危险。

该危险会导致以下两个问题:

  • 攻击者通过 batch-requests 插件绕过 Apache APISIX 数据面的 IP 限度。如绕过 IP 黑白名单限度。
  • 如果用户应用 Apache APISIX 默认配置(启用 Admin API,应用默认 Admin Key 且没有额定调配治理端口),攻击者能够通过 batch-requests 插件调用 Admin API。

影响版本

  • Apache APISIX 1.3 ~ 2.12.1 之间的所有版本(不蕴含 2.12.1)
  • Apache APISIX 2.10.0 ~ 2.10.4 LTS 之间的所有版本(不蕴含 2.10.4)

解决方案

  • 该问题目前已在 2.12.1 和 2.10.4 版本中失去解决,请尽快更新至相干版本。
  • 在受影响的 Apache APISIX 版本中,能够对 conf/config.yaml 和 conf/config-default.yaml 文件显式正文掉 batch-requests,并且重启 Apache APISIX 即可躲避此次危险。

破绽详情

破绽优先级:高

破绽公开工夫:2022 年 2 月 11 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2022-24112

贡献者简介

该破绽由长亭科技在 Real World CTF 中发现,并由 Sauercloud 上报给 Apache 软件基金会。感激各位对 Apache APISIX 社区的奉献。

正文完
 0