【安全通告】APISIX Dashboard 未授權訪問漏洞風險通告（CVE-2021-45232）

騰訊云安全運營中心監測到， Apache APISIX官方發布安全通告，披露了Apache APISIX Dashboard存在未授權漏洞，漏洞編號CVE-2021-45232。可導致未授權訪問等危害。

為避免您的業務受影響，騰訊云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

據官方描述，在2.10.1之前的Apache APISIX Dashboard中，Manager API使用了兩個框架gin和droplet，并在gin框架的基礎上引入了droplet框架。所有的API和鑒權中間件都是基于droplet框架開發的，但是有些API直接使用了 框架`gin` 的接口從而繞過身份驗證。

風險等級

高風險

漏洞風險

攻擊者利用該漏洞可導致未授權訪問

影響版本

Apache APISIX Dashboard < 2.10.1

安全版本

Apache APISIX Dashboard >= 2.10.1

修復建議

官方已發布漏洞補丁及修復版本，請評估業務是否受影響后，酌情升級至安全版本，并同時注意修改默認賬戶的賬號密碼；或可使用安全組等措施，通過白名單的方式限制訪問的源IP，來臨時緩解該漏洞。