Apisix 身份绕过验证 (cve_2021_45232)

Apisix 身份绕过验证 (cve_2021_45232)

漏洞简介:

 ApacheApisix是一个动态、实时、高性能的API网关 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在gin框架的基础上引入了droplet框架,所有的API和鉴权中间件都是基于droplet框架开发的,但是有些API直接使用了框架`gin` 的接口从而绕过身份验证

影响范围:

Apache APISIX Dashboard < 2.10.1

环境搭建:

在线环境 地址

漏洞复现:

访问首页

Apisix 身份绕过验证 (cve_2021_45232)_第1张图片

burp抓包,构造poc

ip+port/apisix/admin/migrate/export

Apisix 身份绕过验证 (cve_2021_45232)_第2张图片 得到回显,还可以下载

Apisix 身份绕过验证 (cve_2021_45232)_第3张图片

Apisix 身份绕过验证 (cve_2021_45232)_第4张图片 下载成功,打开看到敏感信息

漏洞修复:

根据官方进行升级或者下载补丁包

你可能感兴趣的:(漏洞,Apisix,安全)