高危!Apache APISIX Dashboard身份驗證繞過漏洞
VSole2021-12-28 17:53:10
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache APISIX 是一個高性能全動態的云原生API 網關,因為它是基于Nginx 跟OpenResty 實現的,所以它天然繼承了這兩者高性能的能力。全動態意味著,當你對它做任何的配置變更的時候,不需要去重啟它,配置就能即時生效。Apache APISIX Dashboard旨在讓用戶盡可能輕松地通過前端界面操作 Apache APISIX。
2021年11月28日,360漏洞云團隊在互聯網上監測到一則關于Apache APISIX Dashboard中存在身份驗證繞過漏洞的信息。漏洞編號:CVE-2021-45232,漏洞威脅等級:高危。
Apache APISIX Dashboard身份驗證繞過漏洞
Apache APISIX Dashboard身份驗證繞過漏洞 漏洞編號 CVE-2021-45232 漏洞類型 身份驗證繞過 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 該漏洞的存在是由于 Manager API 中的錯誤。遠程攻擊者可以繞過身份驗證過程并通過某些 API 端點未經授權訪問應用程序,這些端點直接使用“gin”框架而不是“droplet”框架。 |
0x03漏洞等級
高危
0x04影響版本
Apache APISIX Dashboard <2.10.1
0x05修復建議
臨時修復方案
修改默認用戶名和密碼,并配置訪問Apache APISIX Dashboard的白名單。
正式修復方案
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:2.10.1 。下載鏈接如下:
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
VSole
網絡安全專家