Skip to main content

Forward-Auth 插件能够发出非法 Smuggling 请求 (CVE-2024-32638)

· 阅读需约 1 分钟

对于 APISIX 3.8.0, 3.9.0 版本,启用 forward-auth 插件时,APISIX 能够发出非法请求(HTTP Request Smuggling)。

问题描述

启用 forward-auth 插件时,APISIX 能够发出非法请求(HTTP Request Smuggling)导致安全漏洞。

影响版本

该风险会影响 Apache APISIX 3.8.03.9.0 两个版本。

解决方案

对于正在使用 3.8.0,3.9.0 的 Apache APISIX 用户,推荐升级到 3.8.1,3.9.1 或更高版本。

漏洞详情

漏洞优先级:低

漏洞公开时间:2024 年 5 月 2 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2024-32638

贡献者简介

该漏洞由来自 Topsort 公司的 Brandon Arp 和 Bruno Green 发现并报告。感谢各位对 Apache APISIX 社区的贡献。