Apache APISIX 远程代码执行漏洞预警（CVE-2022-24112）

2022-02-16

一、概要

近日，华为云关注到Apache APISIX官方发布安全公告，披露在 Apache APISIX 2.12.1 之前的版本中存在一处远程代码执行漏洞（CVE-2022-24112）。在启用 Apache APISIX batch-requests 插件后，攻击者通过 batch-requests 插件绕过 Apache APISIX 数据面的 IP 限制（如绕过 IP 黑白名单限制）。如果用户使用 Apache APISIX 默认配置（启用 Admin API ，使用默认 Admin Key 且没有额外分配管理端口），攻击者可以通过 batch-requests 插件调用 Admin API ，导致远程代码执行。

Apache APISIX是一个开源API网关。华为云提醒使用Apache APISIX的用户及时安排自检并做好安全加固。

参考链接：

https://apisix.apache.org/zh/blog/2022/02/11/cve-2022-24112/

https://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache APISIX 1.3 ~ 2.12.1 之间的所有版本（不包含 2.12.1 ）

Apache APISIX 2.10.0 ~ 2.10.4 LTS 之间的所有版本 （不包含 2.10.4）

安全版本：

Apache APISIX 2.12.1

Apache APISIX 2.10.4  (LTS versions)

四、漏洞处置

1、目前官方已发布修复版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/apache/apisix/releases/tag/2.12.1

https://github.com/apache/apisix/releases/tag/2.10.4

2、无法及时升级的用户，根据官方提供的修复建议通过在受影响的 Apache APISIX 版本中，可以对 conf/config.yaml 和 conf/config-default.yaml 文件显式注释掉 batch-requests，并且重启 Apache APISIX进行缓解。

注：修复漏洞前请将资料备份，并进行充分测试。