Skip to main content

Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)

· 阅读需约 2 分钟

在 Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。

问题描述

攻击者无需登录 Apache APISIX Dashboard 即可访问某些接口,从而进行未授权更改或获取 Apache APISIX Route、Upstream、Service 等相关配置信息,并造成 SSRF、攻击者搭建恶意流量代理和任意代码执行等问题。

影响版本

Apache APISIX Dashboard 2.7 - 2.10 版本

解决方案

请及时更新至 Apache APISIX Dashboard 2.10.1 及以上版本。

安全建议

建议用户及时更改默认用户名与密码,并限制来源 IP 访问 Apache APISIX Dashboard。

漏洞详情

漏洞公开时间:2021 年 12 月 27 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-45232

贡献者简介

该漏洞由源堡科技安全团队的朱禹成发现,并向 Apache 软件基金会上报该漏洞。感谢各位对 Apache APISIX 社区的贡献。

源堡科技
Click to Preview