一、漏洞详情
Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。
Apache官方发布安全通告,Apache APISIX Dashboard中存在一个未授权访问漏洞(CVE-2021-45232)。
在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架gin的基础上引入了框架droplet。所有API和认证中间件都是基于框架 droplet开发的,但有些API直接使用了框架gin的接口,从而绕过身份验证,导致未授权访问。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Apache APISIX Dashboard < 2.10.1
三、修复建议
目前此漏洞已经修复,建议受影响用户尽快升级更新至Apache APISIX Dashboard 2.10.1版本。
下载链接:https://github.com/apache/apisix-dashboard/releases
缓解措施:更改默认用户名和密码,限制源IP访问 Apache APISIX Dashboard。