【漏洞预警】Apache APISIX Dashboard 身份验证绕过漏洞
2021-12-29 18:23:37 Author: www.secpulse.com(查看原文) 阅读量:15 收藏


1. 通告信息

近日,安识科技A-Team团队监测到一则Apache APISIX Dashboard 身份验证绕过漏洞的信息,当前官方已发布受影响的补丁。

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述

Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。
CVE-2021-45232
该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕过身份验证。

3. 漏洞危害

近日,网络上出现 Apache APISIX Dashboard 身份验证绕过漏洞,攻击者可通过该漏洞绕过身份验证过程并通过某些 API 端点未经授权访问应用程序。


4. 影响版本

Apache APISIX Dashboard < 2.10.1

5. 解决方案

1、升级至最新安全版本 Apache APISIX Dashboard 2.10.1:https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、修改默认用户名和密码,并配置访问 Apache APISIX Dashboard的白名单。

6. 时间轴

-2021年1228 安识科技A-Team团队监测到Apache官方发布安全补丁

-2021年1228 安识科技A-Team团队根据官方公告分析

-2021年1228 安识科技A-Team团队发布安全通告

本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/172148.html


文章来源: https://www.secpulse.com/archives/172148.html
如有侵权请联系:admin#unsafe.sh