Apache APISIX 的 Admin API 默认访问令牌漏洞(CVE-2020-13945)漏洞复现
漏洞描述ApacheAPISIX是一个动态、实时、高性能的API网关。ApacheAPISIX有一个默认的内置API令牌,可用于访问所有adminAPI,通过2.x版本中添加的参数导致远程执行LUA代码。漏洞环境及利用启动docker环境访问9080端口通过adminapi向APISIX添加一条新的邪恶路由器规则,并带有默认的token:然后,使用这个邪恶的路由器来执行任意命令:http://yo