一、漏洞详情

Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。

Apache官方发布安全通告，Apache APISIX Dashboard中存在一个未授权访问漏洞（CVE-2021-45232）。

在2.10.1之前的Apache APISIX Dashboard中，Manager API使用了两个框架，在框架gin的基础上引入了框架droplet。所有API和认证中间件都是基于框架 droplet开发的，但有些API直接使用了框架gin的接口，从而绕过身份验证，导致未授权访问。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache APISIX Dashboard < 2.10.1

三、修复建议

目前此漏洞已经修复，建议受影响用户尽快升级更新至Apache APISIX Dashboard 2.10.1版本。

下载链接：https://github.com/apache/apisix-dashboard/releases

缓解措施：更改默认用户名和密码，限制源IP访问 Apache APISIX Dashboard。