【安全通告】APISIX Dashboard 未授权访问漏洞风险通告（CVE-2021-45232）

腾讯云安全运营中心监测到， Apache APISIX官方发布安全通告，披露了Apache APISIX Dashboard存在未授权漏洞，漏洞编号CVE-2021-45232。可导致未授权访问等危害。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

据官方描述，在2.10.1之前的Apache APISIX Dashboard中，Manager API使用了两个框架gin和droplet，并在gin框架的基础上引入了droplet框架。所有的API和鉴权中间件都是基于droplet框架开发的，但是有些API直接使用了 框架`gin` 的接口从而绕过身份验证。

风险等级

高风险

漏洞风险

攻击者利用该漏洞可导致未授权访问

影响版本

Apache APISIX Dashboard < 2.10.1

安全版本

Apache APISIX Dashboard >= 2.10.1

修复建议

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本，并同时注意修改默认账户的账号密码；或可使用安全组等措施，通过白名单的方式限制访问的源IP，来临时缓解该漏洞。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

漏洞参考：

https://nvd.nist.gov/vuln/detail/CVE-2021-45232 https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5

END

更多精彩内容点击下方扫码关注哦~

   云鼎实验室视频号

  一分钟走进趣味科技

     -扫码关注我们-

关注云鼎实验室，获取更多安全情报