國家漏洞庫CNNVD：關于Apache Apisix 授權問題漏洞的預警

近日，國家信息安全漏洞庫（CNNVD）收到關于Apache Apisix 授權問題漏洞（CNNVD-202112-2629、CVE-2021-45232）情況的報送。成功利用漏洞的攻擊者，可以在未經授權的情況下獲取或更改設備的配置信息，進而構造惡意數據對目標設備進行攻擊。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影響。目前，Apache官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。

一、漏洞介紹

Apache Apisix是美國阿帕奇（Apache）基金會的一個API網關。該網關基于 OpenResty 和 etcd 來實現，具備動態路由和插件熱加載等功能，適合微服務體系下的API管理。

Apache Apisix存在授權問題漏洞，攻擊者無需登錄Apache APISIXDashboard即可訪問某些接口，可在未經授權的情況下更改或獲取Apache APISIX相關配置信息，攻擊者可利用漏洞構造惡意數據對目標設備進行攻擊。

二、危害影響

成功利用漏洞的攻擊者，可以在未經授權的情況下獲取或更改設備的配置信息，進而構造惡意數據對目標設備進行攻擊。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影響。

三、修復建議

目前，Apache官方已經發布了版本更新修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。Apache官方更新鏈接如下：

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

本通報由CNNVD技術支撐單位——北京華順信安科技有限公司、上海安識網絡科技有限公司、北京數字觀星科技有限公司、深信服科技股份有限公司、杭州安恒信息技術股份有限公司、上海斗象信息科技有限公司、北京國舜科技股份有限公司、北京華云安信息技術有限公司、杭州安恒信息技術股份有限公司、網神信息技術（北京）股份有限公司、北京微步在線科技有限公司、北京山石網科信息技術有限公司、內蒙古奧創科技有限公司、北京鴻騰智能科技有限公司、恒安嘉新（北京）科技股份有限公司、內蒙古洞明科技有限公司等技術支撐單位提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。聯系方式: cnnvdvul@itsec.gov.cn

文章來源：CNNVD安全動態