Apache APISIX Dashboard 身份验证绕过漏洞风险提示

最新推荐文章于 2024-01-15 09:13:30 发布
最新推荐文章于 2024-01-15 09:13:30 发布
阅读量351 收藏
点赞数
文章标签: apache dashboard 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58596609/article/details/122208237
版权

小伙伴们,近期又出现了一个新漏洞,了解聊新知识,充实自己。

0x01漏洞简介

该漏洞是由于Manager API的错误引起的,建议使用该组件的用户尽快采取措施。

编号:CVE-2021-45232 高危

Apache APISIX是一个开源API网关,Apache APISIX Dashboard设计的目的是让用户通过前端界面尽可能轻松地操作Apache APISIX

0x02 影响版本

APISIX Dashboard<2.10.1

安全的版本:2.10.1

0x03 修复建议

1.升级到安全版本

     下载链接:Releases · apache/apisix-dashboard · GitHub

2.修改默认账户的账号密码,或通过白名单的方式限制访问的源IP

参考文章:CVE-2021-45232: Apache APISIX Dashboard 未授权访问漏洞通告 - 360CERT

Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232) | Apache APISIX® -- Cloud-Native API Gateway

种树人1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
漏洞复现】Sentinel Dashboard SSRF漏洞(CVE-2021-44139)
晚风不及你
01-15 1147
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
Apache APISIX Dashboard(CVE-2022-24112)命令执行漏洞方式利用
include_voidmain的博客
04-11 7755
0x01 什么是Apache APISIX Dashboard Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。 0x02 漏洞详情 漏洞编号:CVE-2022-24112 影响版本:Apache APISIX < 2.12.1 Apache APIS
Apache APISIX Dashboard 身份验证绕过漏洞 (CVE-2021-45232)
Adminxe的博客
12-29 3112
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE-2021-45232 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
m0_58596609的博客
01-17 2658
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232)
kukudeshuo的博客
12-30 2786
Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232) 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 CVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
apisix-dashboard:适用于Apache APISIX的仪表板
01-30
Apache APISIX仪表板(实验性) •• 主版本应与Apache APISIX主版本一起使用。 最新发布的版本是 ,应与一起使用。 不建议与其他Apache APISIX版本一起使用。 什么是Apache APISIX仪表板 Apache APISIX仪表板...
apisix-dashboard-3.0.1-0.el7.x86-64
08-16
apisix-dashboard rpm安装包
apisix-dashboard-2.0-rc2.tar.gz
11-10
APISIX 是一个云原生、高性能、可扩展的微服务 API 网关。 它是基于 OpenResty 和 etcd来实现,和传统 API 网关相比,APISIX 具备动态路由和插件热加载,特别适合微服务体系下的 API 管理。 APISIX 是基于云原生的...
apisix-dashboard-2.13-0.el7.x86_64.rpm
08-05
apisix-dashboard-2.13-0.el7.x86_64.rpm,对应apisix版本为2.15
使用ApacheSpark构建实时分析Dashboard
02-25
本篇文章中我们将学习如何使用ApacheSparkstreaming,Kafka,Node.js,Socket.IO和Highcharts构建实时分析Dashboard。电子商务门户希望构建一个实时分析仪表盘,对每分钟发货的订单数量做到可视化,从而优化物流的...
Apache APISIX Dashboard 未经认证访问导致 RCE(CVE-2021-45232)漏洞复现
weixin_56537388的博客
11-09 1271
在 2.10.1 之前的 Apache APISIX Dashboard 中,Manager API 使用了两个框架,并在框架的基础上引入了框架,所有的 API认证中间件都是基于框架开发的。但是这些 API 中有 2 个,并且直接使用框架的接口,它们能够绕过身份验证。通过使用这 2 个未经认证API 端点,攻击者可以导出和导入任意 Apache APISIX 配置,包括路由器、服务、脚本等,从而导致请求意外 URL (SSRF) 或执行任意 LUA 脚本 (RCE)。docker环境搭建。
漏洞复现】Sentinel Dashboard默认弱口令漏洞
最新发布
晚风不及你
01-15 1252
Sentinel Dashboard是一个轻量级的开源控制台,提供机器发现以及健康情况管理、监控、规则管理和推送的功能。它还提供了详细的被保护资源的实际访问统计情况,以及为不同服务配置的限流规则。
【复现与代码分析】Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232)
weixin_45694388的博客
04-24 1289
API接口未授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括未授权、越权访问等,就是排在第一位的安全问题:未授权漏洞的出现频率越来越高,且漏洞的利用又相对简单,今后应针对这个方向的漏洞多做积累,多做总结。
Apache APISIX远程代码执行漏洞分析
whoami
02-15 2635
0x1 漏洞背景 APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。 该漏洞存在于 APISIX batch-requests 插件,启用该插件将会导致该漏洞的发生。攻击者可以滥用batch-requests插件发送特制请求,并借此来绕过Admin API的IP限制,最终可能导致rce的产生。 0x2 版本信息 CVE号: CVE-2022-24112 影响
微服务网关和开源 API 网关01-以 Nginx 为基础的 API 网关详细介绍
weixin_47367099的博客
10-23 971
微服务架构学习与思考(04):微服务技术体系一文中又提到过一些开源网关软件。这次再来详细介绍下开源 API 网关软件。
Apache Apisix配置路由转发
孤山之王
08-21 7429
APISIX网关中配置路由转发
openstack登陆dashboard界面认证错误
weixin_34384915的博客
04-03 6009
openstack打开dashboard界面登陆的时候显示认证错误,已确定域账户密码都是对的 解决方案: 先查看日志文件: 首先查看keystone的日志 2019-04-03 13:51:36.969 11355 INFO keystone.token.providers.fernet.utils [req-76bb2d23-6fb6-4386-a573-9649962bbbdf - - - ...
CVE-2021-45232 Apache-apisix-dashboard RCE复现
weixin_46137328的博客
01-10 1712
0x00 概述Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache AP...
新秀网关-Apache-APISIX--初探
架构技术专栏
07-01 3199
一、概述 最近有工作需求需要搞一个网关来给我们的应用做路由、限流等等功能。以前使用的Spring Cloud Zuul做网关,但目前的技术体系如果要用它就比较繁琐点了,所以又看了看其他的,发现Apisix 这货很不错啊。主要是KONG忒复杂了,Apisix很轻量很简单的样子,看起来不错,下面看下和KONG的官方对比。 功能 Apache APISIX KONG 项目归属 Apache 软件基金会 Kong Inc. 技术架构 Nginx + etcd Nginx + postgres
apisix dashboard使用方法
06-28
APIsix Dashboard是一个基于Web的管理界面,用于管理APIsix网关。以下是APIsix Dashboard的使用方法: 1. 安装APIsix Dashboard 首先,您需要安装APIsix Dashboard。您可以从APIsix的官方网站下载最新版本的APIsix...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种树人1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值