写点什么

Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)

  • 2021 年 12 月 29 日
  • 本文字数:608 字

    阅读完需:约 2 分钟

问题描述

攻击者无需登录 Apache APISIX Dashboard 即可访问某些接口,从而进行未授权更改或获取 Apache APISIX Route、Upstream、Service 等相关配置信息,并造成 SSRF、攻击者搭建恶意流量代理和任意代码执行等问题。

影响版本

Apache APISIX Dashboard 2.7 - 2.10 版本

解决方案

请及时更新至 Apache APISIX Dashboard 2.10.1 及以上版本。

安全建议

建议用户及时更改默认用户名与密码,并限制来源 IP 访问 Apache APISIX Dashboard。

漏洞详情

漏洞公开时间:2021 年 12 月 27 日


CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-45232

贡献者简介

该漏洞由源堡科技安全团队的朱禹成发现,并向 Apache 软件基金会上报该漏洞。感谢各位对 Apache APISIX 社区的贡献。


关于 Apache APISIX

Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。


Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。目前已被普华永道数据安全团队、腾讯蓝军、平安银河实验室、爱奇艺 SRC 和源堡科技安全团队等专业网络安全机构测试,并给予了高度认可。


Apache APISIX 落地用户(仅部分)



  • Apache APISIX GitHub:https://github.com/apache/apisix

  • Apache APISIX 官网:https://apisix.apache.org/

  • Apache APISIX 文档:https://apisix.apache.org/zh/docs/apisix/getting-started

用户头像

Github:https://github.com/apache/apisix 2021.06.02 加入

Apache APISIX 是一个云原生、高性能、可扩展的微服务 API 网关。它是基于 OpenResty 和 etcd 来实现,和传统 API 网关相比,Apache APISIX 具备动态路由和插件热加载,特别适合微服务体系下的 API 管理。

评论

发布
暂无评论
Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)