服务公告

全部公告 > 安全公告 > Apache APISIX Dashboard 未授权访问漏洞预警(CVE-2021-45232)

Apache APISIX Dashboard 未授权访问漏洞预警(CVE-2021-45232)

2021-12-29

一、概要

近日,华为云关注到Apache APISIX官方发布安全公告,披露Apache APISIX Dashboard在2.10.1之前的版本中存在一处未授权访问漏洞(CVE-2021-45232)。Manager API在gin框架的基础上引入了droplet框架,所有的API和鉴权中间件都是基于droplet框架开发的,但是有些API直接使用框架`gin` 的接口,从而绕过身份验证。目前POC已公开,风险高。

Apache APISIX是一个开源API网关。华为云提醒使用Apache APISIX的用户及时安排自检并做好安全加固。

参考链接:

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache APISIX Dashboard < 2.10.1

安全版本:

Apache APISIX Dashboard  2.10.1

四、漏洞处置

1、目前官方已发布修复版本修复了该漏洞,请受影响的用户升级到安全版本:

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若无法及时升级的用户,可根据官方提供的修复建议通过修改默认用户名和密码,并设置访问Apache APISIX Dashboard的白名单进行缓解。

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则

注:修复漏洞前请将资料备份,并进行充分测试。