股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
警惕!Apache APISIX Dashboard未授权访问漏洞
发布时间 :2021年12月28日
类型 :勒索软件
分享:
漏洞描述
2021年12月28日,威尼斯432888camCERT监测发现Apache APISIX官方发布安全更新,修复了Apache APISIX Dashboard未授权访问漏洞(CVE-2021-45232)。远程攻击者可通过访问特定API绕过权限控制,造成未授权访问。
目前官方已提供修复补丁,威尼斯432888camCERT建议使用Apache APISIX的用户应尽快排查所使用的版本并采取相关措施。
Apache APISIX是Apache基金会开源的一款高性能、可扩展的微服务API网关。其基于nginx和Lua实现功能,同时借鉴了Kong的思路,并将Kong底层的关系型数据库替换成了NoSQL型的etcd。
漏洞编号
CVE-2021-45232 : Apache APISIX Dashboard未授权访问漏洞
漏洞评分
暂无CVSS评分
漏洞状态
受影响的版本
Apache APISIX Dashboard < 2.10.1
修复建议
※ 鉴于Apache APISIX官方已经发布更新版本,请尽快升级至2.10.1以上版本。
※ 临时处置措施:
修改默认的用户名及密码;
使用防火墙白名单机制,仅限允许的IP访问Apache APISIX Dashboard。
参考链接
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
分享到微信
X