高危!Apache APISIX Dashboard身份验证绕过漏洞
VSole2021-12-28 17:53:10
0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache APISIX 是一个高性能全动态的云原生API 网关,因为它是基于Nginx 跟OpenResty 实现的,所以它天然继承了这两者高性能的能力。全动态意味着,当你对它做任何的配置变更的时候,不需要去重启它,配置就能即时生效。Apache APISIX Dashboard旨在让用户尽可能轻松地通过前端界面操作 Apache APISIX。
2021年11月28日,360漏洞云团队在互联网上监测到一则关于Apache APISIX Dashboard中存在身份验证绕过漏洞的信息。漏洞编号:CVE-2021-45232,漏洞威胁等级:高危。
Apache APISIX Dashboard身份验证绕过漏洞
Apache APISIX Dashboard身份验证绕过漏洞 漏洞编号 CVE-2021-45232 漏洞类型 身份验证绕过 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 该漏洞的存在是由于 Manager API 中的错误。远程攻击者可以绕过身份验证过程并通过某些 API 端点未经授权访问应用程序,这些端点直接使用“gin”框架而不是“droplet”框架。 |
0x03漏洞等级
高危
0x04影响版本
Apache APISIX Dashboard <2.10.1
0x05修复建议
临时修复方案
修改默认用户名和密码,并配置访问Apache APISIX Dashboard的白名单。
正式修复方案
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:2.10.1 。下载链接如下:
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
VSole
网络安全专家