欢乐颂第一季免费阅读,完美世界小说下载

【漏洞通告】關(guān)于Apache APISIX Dashboard未授權(quán)訪(fǎng)問(wèn)漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-45232）

安全通告

關(guān)于Apache APISIX Dashboard未授權(quán)訪(fǎng)問(wèn)漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-12-29

漏洞描述

2021年12月29日，監(jiān)測(cè)到一則Apache官方發(fā)布的CVE-2021-45232 Apache APISIX Dashboard未授權(quán)訪(fǎng)問(wèn)漏洞的信息。Apache APISIX Dashboard中，Manager API在gin框架的基礎(chǔ)上引入了droplet框架。所有的API及鑒權(quán)中間件都是基于droplet框架開(kāi)發(fā)的，但是存在某些API直接使用了gin框架中的接口從而可繞過(guò)身份驗(yàn)證。遠(yuǎn)程攻擊者可通過(guò)訪(fǎng)問(wèn)特定API繞過(guò)權(quán)限控制，造成未授權(quán)訪(fǎng)問(wèn)。

目前，Apache官方已發(fā)布可更新版本，建議客戶(hù)盡快自查并修復(fù)。

漏洞編號(hào)

CVE-2021-45232

漏洞危害

所有的API及鑒權(quán)中間件都是基于droplet框架開(kāi)發(fā)的，但是存在某些API直接使用了gin框架中的接口從而可繞過(guò)身份驗(yàn)證。遠(yuǎn)程攻擊者可通過(guò)訪(fǎng)問(wèn)特定API繞過(guò)權(quán)限控制，造成未授權(quán)訪(fǎng)問(wèn)。

漏洞等級(jí)

高危
受影響版本

Apache APISIX Dashboard < 2.10.1

修復(fù)方案

1、升級(jí)至Apache APISIX Dashboard 2.10.1版本

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若暫時(shí)無(wú)法升級(jí)，可通過(guò)修改默認(rèn)用戶(hù)名和密碼，限制源 IP 訪(fǎng)問(wèn)Apache APISIX Dashboard 的方式緩解此漏洞。

參考鏈接

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

漏洞播報(bào)

【漏洞通告】關(guān)于Apache APISIX Dashboard未授權(quán)訪(fǎng)問(wèn)漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-45232）

聯(lián)系我們：cert@chaosec.com