Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)

最新推荐文章于 2024-04-28 03:40:28 发布
最新推荐文章于 2024-04-28 03:40:28 发布
阅读量2.5k 收藏
点赞数
文章标签: apache dashboard 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ApacheAPISIX/article/details/122218004
版权

问题描述

攻击者无需登录 Apache APISIX Dashboard 即可访问某些接口,从而进行未授权更改或获取 Apache APISIX Route、Upstream、Service 等相关配置信息,并造成 SSRF、攻击者搭建恶意流量代理和任意代码执行等问题。

影响版本

Apache APISIX Dashboard 2.7 - 2.10 版本

解决方案

请及时更新至 Apache APISIX Dashboard 2.10.1 及以上版本。

安全建议

建议用户及时更改默认用户名与密码,并限制来源 IP 访问 Apache APISIX Dashboard。

漏洞详情

漏洞公开时间:2021 年 12 月 27 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-45232

贡献者简介

该漏洞由源堡科技安全团队的朱禹成发现,并向 Apache 软件基金会上报该漏洞。感谢各位对 Apache APISIX 社区的贡献。

图片

关于 Apache APISIX

Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。

Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务

最低0.47元/天 解锁文章
API7.ai 技术团队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CVE-2021-45232漏洞复现
派大星的博客
01-04 7190
cve-2021-45232漏洞复现
CVE-2021-45232 Apache-apisix-dashboard 授权到RCE
Keepb1ue的博客
01-20 5067
Apache APISIX介绍 Apache APISIX是一个动态、实时、高性能的API网关。提供了丰富的流量管理功能,如负载均衡、动态上游、canary释放、断路、认证、可观察性等。也可以使用Apache APISIX来处理传统的南北向流量,以及服务之间的东西向流量。它也可以用作k8s的ingress控制器。 漏洞概述 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet
Apache Apisix网关系统历史漏洞复现分析_apache apisix 漏洞(1)
最新发布
2401_84267585的博客
04-28 829
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。;;你可以把 Apache APISIX 当做流量入口,来处理所有的业务数据,包括动态路由、动态上游、动态证书、金丝雀发布(灰度发布)、限流限速、抵御恶意攻击、监控报警、服务可观测性、服务治理等。APISIX 系统默认端口默认凭据或口令90809000# 验证安装是否成功【创建路由】通过下面的命令,你将创建一个路由,把请求。
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
Adminxe的博客
12-29 3078
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE-2021-45232漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
cve-2021-45232Apache APISIX Dashboard身份认证绕过自检方法
weixin_48421613的博客
12-29 3542
漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的
漏洞预警:CVE-2021-45232 Apache APISIX Dashboard 授权访问(附批量扫描POC)
热门推荐
weixin_43526443的博客
12-29 7万+
目录 Part1 漏洞描述 Part2 风险等级 Part3 漏洞影响 Part4 漏洞分析 4.1 漏洞源码 4.2 漏洞验证 4.3 POC Part5 修复建议 Part1 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架gin和drople
apisix-dashboard:适用于Apache APISIX的仪表板
01-30
Apache APISIX仪表板(实验性) •• 主版本应与Apache APISIX主版本一起使用。 最新发布的版本是 ,应与一起使用。 不建议与其他Apache APISIX版本一起使用。 什么是Apache APISIX仪表板 Apache APISIX仪表板...
apisix-dashboard-3.0.1-0.el7.x86-64
08-16
apisix-dashboard rpm安装包
Apache-flink 授权访问任意jar包上传反弹shell.MD
04-12
Apache-flink 授权访问任意jar包上传反弹shell
apisix-dashboard-2.13-0.el7.x86_64.rpm
08-05
apisix-dashboard-2.13-0.el7.x86_64.rpm,对应apisix版本为2.15
apache-pulsar-grafana-dashboard:Apache Pulsar Grafana仪表板
05-06
Apache Pulsar Grafana仪表板 Grafana仪表板docker映像可从。 要使用此仪表板图像,请提供以下环境变量: PULSAR_PROMETHEUS_URL :指向您的普罗米修斯服务的HTTP URL。 例如, http://<prometheus>:9090 。 PULSAR_...
Apache APISIX Dashboard 授权访问(CVE-2021-45232 )
m0_54125423的博客
03-01 5043
一、漏洞原理 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。 2021年12月27日,Apache官方发布安全通告,Apache APISIX Dashboard中存在一个授权访问漏洞CVE-2021-45232)。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架 "gin "的基础上引入了框架 "d
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
kukudeshuo的博客
12-30 2765
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
常见的API接口漏洞总结
summer_fish的专栏
05-01 3334
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
(45.3)【API接口漏洞专题】API接口原理、请求方法、类型、安全校验方法
05-07 2277
【专题】API漏洞之基础
API接口漏洞利用及防御
Z__7Gk的博客
07-27 1309
API(Application Programming Interface,应用程序编程接口)是不同软件系统之间进行数据交互和通信的一种方式。API接口漏洞指的是在API的设计、开发或实现过程中存在的安全漏洞,可能导致恶意攻击者利用这些漏洞来获取授权访问、篡改数据、拒绝服务等恶意行为。
API 渗透测试之漏洞发现
CSDN_224022的博客
06-20 477
API 渗透测试中,因为 API 的特殊性,如果前期信息收集不全(比如 API 列表不全遗漏了影子 API),自动化扫描过程中会无法检测到相应 API漏洞,这时通常需要手工挖掘。漏洞发现是利用收集到的信息,发现应用程序的缺陷或漏洞的过程。在常规的渗透测试中,这种漏洞发现的范围非常广,包含了信息系统的方方面面,比如网络层协议配置错误、主机补丁没有及时升级、应用层权限配置错误等。在实际工作中,往往两种方式混合使用,比如先使用自动化检测工具全量扫描一次,再针对高风险业务场景,进行人工渗透或复核。
CVE-2022-38817
初岄的博客
10-12 2061
Dapr Dashboard 存在 授权访问漏洞,在授权的情况下获取云上redis、mongodb、rabbitmq等应用的明文配置信息,并可以进一步利用这些配置信息获取云上的敏感数据。
CVE-2021-3223
09-07
CVE-2021-3223 是一个与Node-RED平台相关的高危漏洞,存在可能导致安全风险的问题。通过自研白盒代码扫描引擎和人工审计,该漏洞在Node-RED官方提供的可视化插件Node-RED-dashboard中被发现。该漏洞的具体细节和潜在利用方式还需要进一步研究和分析。 此外,根据Node-RED的历史CVE数据,我们也可以看到之前已经修复过一个编号为CVE-2019-15607的XSS漏洞。 总结来说,CVE-2021-3223是Node-RED平台中一个存在安全风险的漏洞,需要注意并及时采取相应的修复措施。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值