一、 漏洞 CVE-2021-45232 基础信息
漏洞信息
                                        # 未授权访问的安全漏洞。

## 漏洞概述
在 Apache APISIX Dashboard 版本 2.10.1 之前,Manager API 使用了两个框架并在框架 `gin` 的基础上引入了框架 `droplet`。所有的 API 和认证中间件都是基于框架 `droplet` 开发的。然而,某些 API 直接使用了框架 `gin` 的接口,从而绕过了认证。

## 影响版本
- Apache APISIX Dashboard 2.10.1 之前的版本

## 漏洞细节
在受影响的版本中,API 管理器同时使用了 `gin``droplet` 两个框架。大部分 API 和认证中间件的实现都是基于 `droplet` 框架。然而,有部分 API 却直接调用了 `gin` 框架的接口,从而绕过了本应通过 `droplet` 框架实现的认证机制。

## 影响
由于认证机制被绕过,攻击者可能能够直接访问受保护的 API,从而导致未经授权的操作和数据泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
security vulnerability on unauthorized access.
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Apache APISIX Dashboard before 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin`, all APIs and authentication middleware are developed based on framework `droplet`, but some API directly use the interface of framework `gin` thus bypassing the authentication.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
关键功能的认证机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Apisix 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX Dashboard 存在访问控制错误漏洞,该漏洞源于 Manager API使用了两个框架,在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的,但是有些API直接使用了 框架 gin 的接口从而绕过身份
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2021-45232 的公开POC
# POC 描述 源链接 神龙链接
1 A vulnerability scanner that detects CVE-2021-45232 vulnerabilities. https://github.com/Osyanina/westone-CVE-2021-45232-scanner POC详情
2 None https://github.com/badboycxcc/CVE-2021-45232-POC POC详情
3 None https://github.com/LTiDi2000/CVE-2021-45232 POC详情
4 None https://github.com/Ilovewomen/cve-2021-45232 POC详情
5 CVE-2021-45232 RCE https://github.com/jxpsx/CVE-2021-45232-RCE POC详情
6 None https://github.com/wuppp/cve-2021-45232-exp POC详情
7 CVE-2021-45232 POC https://github.com/dskho/CVE-2021-45232 POC详情
8 The vulnerability affects Apache APISIX Dashboard version 2.10.1 https://github.com/itxfahdi/-cve-2021-45232 POC详情
9 CVE-2021-45232-RCE-多线程批量漏洞检测 https://github.com/GYLQ/CVE-2021-45232-RCE POC详情
10 CVE-2021-45232-RCE https://github.com/Kuibagit/CVE-2021-45232-RCE POC详情
11 CVE-2021-45232批量一键检测 https://github.com/yggcwhat/Demo POC详情
12 一键批量检测poc https://github.com/yggcwhat/CVE-2021-45232 POC详情
13 Apisix系列漏洞:未授权漏洞(CVE-2021-45232)、默认秘钥(CVE-2020-13945)批量探测。 https://github.com/YutuSec/Apisix_Crack POC详情
14 CVE-2021-45232-RCE https://github.com/fany0r/CVE-2021-45232-RCE POC详情
15 The vulnerability affects Apache APISIX Dashboard version 2.10.1 https://github.com/xiju2003/-cve-2021-45232 POC详情
16 In Apache APISIX Dashboard before 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin.' While all APIs and authentication middleware are developed based on framework `droplet`, some API directly use the interface of framework `gin` thus bypassing their authentication. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2021/CVE-2021-45232.yaml POC详情
17 None https://github.com/Threekiii/Awesome-POC/blob/master/%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87%E6%BC%8F%E6%B4%9E/Apache%20APISIX%20Dashboard%20API%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4RCE%20CVE-2021-45232.md POC详情
18 https://github.com/vulhub/vulhub/blob/master/apisix/CVE-2021-45232/README.md POC详情
三、漏洞 CVE-2021-45232 的情报信息