Apache APISIX Dashboard 未授權(quán)訪問(wèn)漏洞預(yù)警（CVE-2021-45232）

2021-12-29

一、概要

近日，華為云關(guān)注到Apache APISIX官方發(fā)布安全公告，披露Apache APISIX Dashboard在2.10.1之前的版本中存在一處未授權(quán)訪問(wèn)漏洞（CVE-2021-45232）。Manager API在gin框架的基礎(chǔ)上引入了droplet框架，所有的API和鑒權(quán)中間件都是基于droplet框架開(kāi)發(fā)的，但是有些API直接使用框架`gin` 的接口，從而繞過(guò)身份驗(yàn)證。目前POC已公開(kāi)，風(fēng)險(xiǎn)高。

Apache APISIX是一個(gè)開(kāi)源API網(wǎng)關(guān)。華為云提醒使用Apache APISIX的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache APISIX Dashboard < 2.10.1

安全版本：

Apache APISIX Dashboard  2.10.1

四、漏洞處置

1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)到安全版本：

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若無(wú)法及時(shí)升級(jí)的用戶，可根據(jù)官方提供的修復(fù)建議通過(guò)修改默認(rèn)用戶名和密碼，并設(shè)置訪問(wèn)Apache APISIX Dashboard的白名單進(jìn)行緩解。

華為云WAF具備對(duì)該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請(qǐng)參見(jiàn)配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。