安全通告
关于Apache APISIX Dashboard未授权访问漏洞安全风险通告
发布日期:2021-12-29
漏洞描述
2021年12月29日,监测到一则Apache官方发布的CVE-2021-45232 Apache APISIX Dashboard未授权访问漏洞的信息。Apache APISIX Dashboard中,Manager API在gin框架的基础上引入了droplet框架。所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。
目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。
漏洞编号
CVE-2021-45232
漏洞危害
所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。
漏洞等级
高危
受影响版本
Apache APISIX Dashboard < 2.10.1
修复方案
1、升级至Apache APISIX Dashboard 2.10.1版本
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
2、若暂时无法升级,可通过修改默认用户名和密码,限制源 IP 访问Apache APISIX Dashboard 的方式缓解此漏洞。
参考链接
- https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5