【漏洞资讯】CVE-2021-45232-Apache APISIX Dashboard 远程代码执行漏洞

Galaxy 漏洞资讯 2年前

6.66K 0 0

漏洞介绍

APISIX 是一个高性能、可扩展的微服务 API 网关，基于 nginx（openresty）和 Lua 实现功能，借鉴了 Kong 的思路，将 Kong 底层的关系型数据库（Postgres）替换成了NoSQL 型的 etcd。Apache APISIX Dashboard 设计的目的是让用户通过前端界面尽可能轻松地操作 Apache APISIX。

Apache APISIX Dashboard 组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2021-45232，漏洞威胁等级：高危。

漏洞名称	Apache APISIX Dashboard 远程代码执行漏洞
威胁等级	high
漏洞威胁	Apache APISIX Dashboard
影响范围	2.7 ≤ Apache APISIX Dashboard < 2.10.1
漏洞类型	RCE
利用难度	N/A
漏洞编号	CVE-2021-45232
是否有POC	N/A

信息详情

该漏洞是由于 Apache APISIX Dashboard 有些接口直接使用了 gin 框架导致未授权访问进而可导致远程代码执行，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

修复方式

建议受影响用户及时升级更新到更高版本

https://github.com/apache/apisix-dashboard

参考链接

secsurcity

noxqianxin

深信服

本文原创，作者：Galaxy，其版权均为Galaxy Lab所有。如需转载，请注明出处：http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91cve-2021-45232-apache-apisix-dashboard-%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e/

官方

Galaxy

平安集团安全部银河实验室官方博客

66篇文章 54.86W总阅读量

上一篇：【漏洞资讯】微软补丁日 2021年11月第2周下一篇：【漏洞资讯】CVE-2021-43297-Apache Dubbo远程代码执行漏洞