Apache APISIX Dashboard 未授權(quán)訪問漏洞預(yù)警（CVE-2021-45232）

2021-12-29

一、概要

近日，華為云關(guān)注到Apache APISIX官方發(fā)布安全公告，披露Apache APISIX Dashboard在2.10.1之前的版本中存在一處未授權(quán)訪問漏洞（CVE-2021-45232）。Manager API在gin框架的基礎(chǔ)上引入了droplet框架，所有的API和鑒權(quán)中間件都是基于droplet框架開發(fā)的，但是有些API直接使用框架`gin` 的接口，從而繞過身份驗(yàn)證。目前POC已公開，風(fēng)險高。

Apache APISIX是一個開源API網(wǎng)關(guān)。華為云提醒使用Apache APISIX的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

https://apisix.apache.org/zh/blog/2021/12/28/dashboard-cve-2021-45232/

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache APISIX Dashboard < 2.10.1

安全版本：

Apache APISIX Dashboard  2.10.1

四、漏洞處置

1、目前官方已發(fā)布修復(fù)版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、若無法及時升級的用戶，可根據(jù)官方提供的修復(fù)建議通過修改默認(rèn)用戶名和密碼，并設(shè)置訪問Apache APISIX Dashboard的白名單進(jìn)行緩解。

華為云WAF具備對該漏洞防御能力。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。