关联漏洞
标题:
Apache Apisix 访问控制错误漏洞
(CVE-2021-45232)
描述:Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX Dashboard 存在访问控制错误漏洞,该漏洞源于 Manager API使用了两个框架,在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的,但是有些API直接使用了 框架 gin 的接口从而绕过身份
描述
In Apache APISIX Dashboard before 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin.' While all APIs and authentication middleware are developed based on framework `droplet`, some API directly use the interface of framework `gin` thus bypassing their authentication.
文件快照
id: CVE-2021-45232
info:
name: Apache APISIX Dashboard <2.10.1 - API Unauthorized Access
author
...
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。