Apache APISIX Dashboard 未授權(quán)訪問漏洞

 漏洞資訊     |      2021-12-31

一、  漏洞描述

Apache APISIX是一個開源API網(wǎng)關(guān),Apache APISIX Dashboard設(shè)計的目的是讓用戶通過前端界面盡可能輕松地操作Apache APISIX。

在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了兩個框架,并在框架‘gin’的基礎(chǔ)上引入了框架‘droplet’,所有的API和認證中間件都是基于框架‘droplet’開發(fā)的,但有些API直接使用框架‘gin’的接口,從而繞過了認證。

二、  漏洞詳情

CVE-2021-45232  : Apache APISIX Dashboard 未授權(quán)訪問漏洞

CVE: CVE-2021-45232 

組件: APISIX

漏洞類型: 身份驗證繞過

影響: 身份驗證繞過

簡述: 見漏洞描述。

三、  影響版本

組件

影響產(chǎn)品或系統(tǒng)版本

安全版本

APISIX

apache:APISIX Dashboard < 2.10.1

2.10.1

四、  安全版本

見三

五、  安全建議

通用修補建議:

廠商已發(fā)布安全版本,用戶請盡快升級

https://github.com/apache/apisix-dashboard/releases