股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
警惕!Apache APISIX Dashboard未授权访问漏洞
发布时间 :2021年12月28日
类型 :勒索软件
分(fēn)享:
漏洞描述
2021年12月28日,亚信安(ān)全CERT监测发现Apache APISIX官方发布安(ān)全更新(xīn),修复了Apache APISIX Dashboard未授权访问漏洞(CVE-2021-45232)。遠(yuǎn)程攻击者可(kě)通过访问特定API绕过权限控制,造成未授权访问。
目前官方已提供修复补丁,亚信安(ān)全CERT建议使用(yòng)Apache APISIX的用(yòng)户应尽快排查所使用(yòng)的版本并采取相关措施。
Apache APISIX是Apache基金会开源的一款高性能(néng)、可(kě)扩展的微服務(wù)API网关。其基于nginx和Lua实现功能(néng),同时借鉴了Kong的思路,并将Kong底层的关系型数据库替换成了NoSQL型的etcd。
漏洞编号
CVE-2021-45232 : Apache APISIX Dashboard未授权访问漏洞
漏洞评分(fēn)
暂无CVSS评分(fēn)
漏洞状态
受影响的版本
Apache APISIX Dashboard < 2.10.1
修复建议
※ 鉴于Apache APISIX官方已经发布更新(xīn)版本,请尽快升级至2.10.1以上版本。
※ 临时处置措施:
修改默认的用(yòng)户名(míng)及密码;
使用(yòng)防火墙白名(míng)单机制,仅限允许的IP访问Apache APISIX Dashboard。
参考链接
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
分(fēn)享到微信
X