【安全通告】APISIX Dashboard 未授权访问漏洞风险通告（CVE-2021-45232）

腾讯云安全运营中心监测到， Apache APISIX官方发布安全通告，披露了Apache APISIX Dashboard存在未授权漏洞，漏洞编号CVE-2021-45232。可导致未授权访问等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

据官方描述，在2.10.1之前的Apache APISIX Dashboard中，Manager API使用了两个框架gin和droplet，并在gin框架的基础上引入了droplet框架。所有的API和鉴权中间件都是基于droplet框架开发的，但是有些API直接使用了 框架`gin` 的接口从而绕过身份验证。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致未授权访问

影响版本

Apache APISIX Dashboard < 2.10.1

安全版本

Apache APISIX Dashboard >= 2.10.1

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本，并同时注意修改默认账户的账号密码；或可使用安全组等措施，通过白名单的方式限制访问的源IP，来临时缓解该漏洞。