CVE-2022-24112 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Apache APISIX 的 `batch-requests` 插件未限制批处理请求，导致可伪造 `X-Real-IP` 绕过 Admin API 的 IP 限制。 💥 **后果**：攻击者可绕过授权，执行恶意路由中的 `filter_func` 或 `script`，最终导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-290 (认证绕过机制缺陷)。 🔧 **缺陷点**：插件逻辑中，`batch-requests` 会覆盖客户端 IP 为 `X-Real-IP` 头部的值，且未对 Admin API 的访问来源做严格校验。

📦 **产品**：Apache APISIX (云原生微服务 API 网关)。 📉 **版本**： - **2.10.4 之前**的所有版本 - **2.12.1 之前**的所有版本 ⚠️ 默认配置下风险极高。

👑 **权限**：可绕过 Admin API 的 IP 白名单限制。 📂 **数据/操作**： - 执行任意 Lua 脚本 (`filter_func`/`script`)。 - 实现 **RCE (远程代码执行)**。 - 完全控制网关服务器。

🚪 **门槛**：中等。 🔑 **认证**：若使用默认 API Key 或未修改 Admin API 端口，极易利用。 🛡️ **绕过**：通过构造 `X-Real-IP` 为 `127.0.0.1` 或 `localhost`，即可伪装成内网合法请求，绕过防火墙/白名单。

💣 **Exp**：有！GitHub 上已有多个 PoC (如 Mr-xn, Axx8, Mah1ndra 等)。 🔨 **工具**：提供 Python/Go 脚本，支持批量扫描和命令执行。 🌍 **在野**：虽无明确大规模爆发报道，但利用代码已公开，风险极大。

🔎 **自查特征**： 1. 检查 APISIX 版本是否 < 2.10.4 或 < 2.12.1。 2. 检查是否启用 `batch-requests` 插件。 3. 尝试发送包含 `X-Real-IP: 127.0.0.1` 的批量请求，看是否触发 Admin API 逻辑。 🛠️ **扫描**：使用 Nuclei 模板或 GitHub 上的自动化脚本进行探测。

🛡️ **官方修复**：已发布补丁。 ✅ **解决方案**：升级至 **Apache APISIX 2.10.4** 或 **2.12.1** 及以上版本。 📝 **注意**：官方修复逻辑是修正插件中 IP 覆盖的行为。

🚧 **临时规避**： 1. **修改 Admin API 端口**：使其不与 Data Panel 端口相同。 2. **修改 Admin Key**：避免使用默认 Key。 3. **禁用插件**：如果不需要，禁用 `batch-requests` 插件。 4. **WAF 防护**：拦截异常的 `X-Real-IP` 头部或批量请求特征。

🔥 **优先级**：🔴 **紧急 (Critical)**。 💡 **理由**：默认配置下可直接 RCE，且利用门槛低（无需复杂认证，只需伪造 IP）。建议立即升级或实施缓解措施。