【漏洞通告】关于Apache APISIX Dashboard未授权访问漏洞安全风险通告(CVE-2021-45232)

2021-12-29 18:28:06 漏洞播报 0个评论

安全通告

关于Apache APISIX Dashboard未授权访问漏洞安全风险通告

发布日期:2021-12-29

 

漏洞描述

2021年12月29日,监测到一则Apache官方发布的CVE-2021-45232 Apache APISIX Dashboard未授权访问漏洞的信息。Apache APISIX Dashboard中,Manager API在gin框架的基础上引入了droplet框架。所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。

目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。

漏洞编号

CVE-2021-45232

漏洞危害

所有的API及鉴权中间件都是基于droplet框架开发的,但是存在某些API直接使用了gin框架中的接口从而可绕过身份验证。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。

漏洞等级

高危
受影响版本

Apache APISIX Dashboard < 2.10.1

修复方案

1、升级至Apache APISIX Dashboard 2.10.1版本

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若暂时无法升级,可通过修改默认用户名和密码,限制源 IP 访问Apache APISIX Dashboard 的方式缓解此漏洞。

参考链接

  • https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5
分享本文 分享到新浪微博 分享到QQ好友