↑ 点击上方 关注我们
近日,安全狗应急响应中心监测到Apache APISIX官方发布安全通告,披露了APISIX batch-requests插件存在远程代码执行漏洞,漏洞编号CVE-2022-24112。可导致攻击者远程执行任意代码等危害。
漏洞描述
APISIX是一个云原生、高性能、可扩展的微服务API开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。
据官方描述,该漏洞存在于APISIX batch-requests插件,启用该插件将会导致该漏洞的发生。攻击者可以滥用batch-requests插件发送特制请求,并借此来绕过Admin API的IP限制。
通过这种方式,可使攻击者通过batch-requests插件绕过Apache APISIX数据面的IP限制。如绕过IP黑白名单限制;或者当用户使用Apache APISIX默认配置时(启用Admin API,使用默认Admin Key且没有额外分配管理端口),攻击者可以通过batch-requests插件调用Admin API。最终可导致远程代码执行。
安全通告信息
漏洞名称 |
Apache APISIX 远程代码执行漏洞 |
漏洞影响版本 |
Apache APISIX 1.3 ~ 2.12.1 之间的所有版本(不包含 2.12.1 ) Apache APISIX 2.10.0 ~ 2.10.4 LTS 之间的所有版本 (不包含 2.10.4) |
漏洞危害等级 |
高危 |
厂商是否已发布漏洞补丁 |
是 |
版本更新地址 |
https://apisix.apache.org/zh/blog/2022/02/11/cve-2022-24112/ |
安全狗总预警期数 |
199 |
安全狗发布预警日期 |
2022年02月14日 |
安全狗更新预警日期 |
2022年02月14日 |
发布者 |
安全狗海青实验室 |
处置措施
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
安全版本:
Apache APISIX>=2.12.1Apache APISIX>=2.10.4(LTS versions)
临时缓解措施:
在受影响的Apache APISIX版本中,可以对conf/config.yaml和conf/config-default.yaml文件显式注释掉batch-requests,并且重启Apache APISIX即可规避此风险。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
原文始发于微信公众号(海青安全研究实验室):【高危安全通告】Apache APISIX 远程代码执行漏洞