【漏洞资讯】CVE-2021-45232-Apache APISIX Dashboard 远程代码执行漏洞
漏洞介绍
APISIX 是一个高性能、可扩展的微服务 API 网关,基于 nginx(openresty)和 Lua 实现功能,借鉴了 Kong 的思路,将 Kong 底层的关系型数据库(Postgres)替换成了NoSQL 型的 etcd。Apache APISIX Dashboard 设计的目的是让用户通过前端界面尽可能轻松地操作 Apache APISIX。
Apache APISIX Dashboard 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-45232,漏洞威胁等级:高危。
漏洞名称
|
Apache APISIX Dashboard 远程代码执行漏洞
|
威胁等级
|
high
|
漏洞威胁
|
Apache APISIX Dashboard
|
影响范围
|
2.7 ≤ Apache APISIX Dashboard < 2.10.1
|
漏洞类型
|
RCE
|
利用难度
|
N/A
|
漏洞编号
|
CVE-2021-45232
|
是否有POC
|
N/A
|
信息详情
该漏洞是由于 Apache APISIX Dashboard 有些接口直接使用了 gin 框架导致未授权访问进而可导致远程代码执行,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。
修复方式
建议受影响用户及时升级更新到更高版本
https://github.com/apache/apisix-dashboard
参考链接
secsurcity
noxqianxin
深信服