您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
關(guān)于 Apache Apisix 授權(quán)問(wèn)題漏洞的預(yù)警
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)收到關(guān)于Apache Apisix 授權(quán)問(wèn)題漏洞(CNNVD-202112-2629、CVE-2021-45232)情況的報(bào)送。成功利用漏洞的攻擊者,可以在未經(jīng)授權(quán)的情況下獲取或更改設(shè)備的配置信息,進(jìn)而構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)設(shè)備進(jìn)行攻擊。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影響。目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。
一、漏洞介紹
Apache Apisix是美國(guó)阿帕奇(Apache)基金會(huì)的一個(gè)API網(wǎng)關(guān)。該網(wǎng)關(guān)基于 OpenResty 和 etcd 來(lái)實(shí)現(xiàn),具備動(dòng)態(tài)路由和插件熱加載等功能,適合微服務(wù)體系下的API管理。
Apache Apisix存在授權(quán)問(wèn)題漏洞,攻擊者無(wú)需登錄Apache APISIXDashboard即可訪問(wèn)某些接口,可在未經(jīng)授權(quán)的情況下更改或獲取Apache APISIX相關(guān)配置信息,攻擊者可利用漏洞構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)設(shè)備進(jìn)行攻擊。
二、危害影響
成功利用漏洞的攻擊者,可以在未經(jīng)授權(quán)的情況下獲取或更改設(shè)備的配置信息,進(jìn)而構(gòu)造惡意數(shù)據(jù)對(duì)目標(biāo)設(shè)備進(jìn)行攻擊。Apache APISIX Dashboard 2.10及其之前版本均受此漏洞影響。
三、修復(fù)建議
目前,Apache官方已經(jīng)發(fā)布了版本更新修復(fù)了該漏洞,建議用戶及時(shí)確認(rèn)產(chǎn)品版本,盡快采取修補(bǔ)措施。Apache官方更新鏈接如下:
https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5
本通報(bào)由CNNVD技術(shù)支撐單位——北京華順信安科技有限公司、上海安識(shí)網(wǎng)絡(luò)科技有限公司、北京數(shù)字觀星科技有限公司、深信服科技股份有限公司、杭州安恒信息技術(shù)股份有限公司、上海斗象信息科技有限公司、北京國(guó)舜科技股份有限公司、北京華云安信息技術(shù)有限公司、網(wǎng)神信息技術(shù)(北京)股份有限公司、北京微步在線科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、內(nèi)蒙古奧創(chuàng)科技有限公司、北京鴻騰智能科技有限公司、恒安嘉新(北京)科技股份有限公司、內(nèi)蒙古洞明科技有限公司等技術(shù)支撐單位提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息。如有需要,可與CNNVD聯(lián)系。聯(lián)系方式: cnnvdvul@itsec.gov.cn
來(lái)源:CNNVD