近日,奇安信CERT监测到Apache官方发布CVE-2021-45232 Apache APISIX Dashboard未授权访问漏洞安全通告。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
否 | 未知 | 未知 | 未知 |
漏洞描述
APISIX 是一个高性能、可扩展的微服务API网关,基于nginx(openresty)和Lua实现功能,借鉴了Kong的思路,将Kong底层的关系型数据库(Postgres)替换成了NoSQL型的etcd。
近日,奇安信CERT监测到Apache官方发布CVE-2021-45232 Apache APISIX Dashboard未授权访问漏洞安全通告。据官方描述,Apache APISIX Dashboard中,Manager API在gin框架的基础上引入了droplet框架。所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。
CVE-2021-45232 Apache APISIX Dashboard未授权访问漏洞
漏洞名称 | Apache APISIX Dashboard未授权访问漏洞 | ||||
漏洞类型 | 未授权访问 | 风险等级 | 高危 | 漏洞ID | CVE-2021-45232 |
公开状态 | 未知 | 在野利用 | 未知 | ||
漏洞描述 | 据官方描述,Apache APISIX Dashboard中,Manager API在gin框架的基础上引入了droplet框架。所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。 | ||||
参考链接 | |||||
https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5 | |||||
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
影响范围
Apache APISIX Dashboard < 2.10.1
处置建议
1、升级至 Apache APISIXDashboard 2.10.1 以上版本:
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
2、若暂时无法升级,可通过修改默认用户名和密码,限制源 IP 访问Apache APISIX Dashboard 的方式缓解此漏洞。
参考资料
[1]https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
