一、 漏洞描述
Apache APISIX是一个开源API网关,Apache APISIX Dashboard设计的目的是让用户通过前端界面尽可能轻松地操作Apache APISIX。
在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,并在框架‘gin’的基础上引入了框架‘droplet’,所有的API和认证中间件都是基于框架‘droplet’开发的,但有些API直接使用框架‘gin’的接口,从而绕过了认证。
二、 漏洞详情
CVE-2021-45232 : Apache APISIX Dashboard 未授权访问漏洞
CVE: CVE-2021-45232
组件: APISIX
漏洞类型: 身份验证绕过
影响: 身份验证绕过
简述: 见漏洞描述。
三、 影响版本
组件 | 影响产品或系统版本 | 安全版本 |
APISIX | apache:APISIX Dashboard < 2.10.1 | 2.10.1 |
四、 安全版本
见三
五、 安全建议
通用修补建议:
厂商已发布安全版本,用户请尽快升级
https://github.com/apache/apisix-dashboard/releases