0x01漏洞状态

漏洞细节

漏洞POC

漏洞EXP

在野利用

未知

未知

未知

0x02漏洞描述

Apache APISIX 是一个高性能全动态的云原生API 网关,因为它是基于Nginx 跟OpenResty 实现的,所以它天然继承了这两者高性能的能力。全动态意味着,当你对它做任何的配置变更的时候,不需要去重启它,配置就能即时生效。Apache APISIX Dashboard旨在让用户尽可能轻松地通过前端界面操作 Apache APISIX。

2021年11月28日,360漏洞云团队在互联网上监测到一则关于Apache APISIX Dashboard中存在身份验证绕过漏洞的信息。漏洞编号:CVE-2021-45232,漏洞威胁等级:高危。

Apache APISIX Dashboard身份验证绕过漏洞

Apache APISIX Dashboard身份验证绕过漏洞

漏洞编号

CVE-2021-45232

漏洞类型

身份验证绕过

漏洞等级

高危

公开状态

未知

在野利用

未知

漏洞描述

该漏洞的存在是由于 Manager API 中的错误。远程攻击者可以绕过身份验证过程并通过某些 API 端点未经授权访问应用程序,这些端点直接使用“gin”框架而不是“droplet”框架。

0x03漏洞等级

高危

0x04影响版本

Apache APISIX Dashboard <2.10.1

0x05修复建议

临时修复方案

修改默认用户名和密码,并配置访问Apache APISIX Dashboard的白名单。

正式修复方案

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:2.10.1 。下载链接如下:

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。