Apache APISIX Dashboard 未授权访问漏洞

 漏洞资讯     |      2021-12-31

一、  漏洞描述

Apache APISIX是一个开源API网关,Apache APISIX Dashboard设计的目的是让用户通过前端界面尽可能轻松地操作Apache APISIX。

在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,并在框架‘gin’的基础上引入了框架‘droplet’,所有的API和认证中间件都是基于框架‘droplet’开发的,但有些API直接使用框架‘gin’的接口,从而绕过了认证。

二、  漏洞详情

CVE-2021-45232  : Apache APISIX Dashboard 未授权访问漏洞

CVE: CVE-2021-45232 

组件: APISIX

漏洞类型: 身份验证绕过

影响: 身份验证绕过

简述: 见漏洞描述。

三、  影响版本

组件

影响产品或系统版本

安全版本

APISIX

apache:APISIX Dashboard < 2.10.1

2.10.1

四、  安全版本

见三

五、  安全建议

通用修补建议:

厂商已发布安全版本,用户请尽快升级

https://github.com/apache/apisix-dashboard/releases