腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Apache APISIX 远程代码执行漏洞风险通告(CVE-2022-24112)
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Apache APISIX官方发布安全通告,披露了 APISIX batch-requests 插件存在远程代码执行漏洞,漏洞编号CVE-2022-24112。可导致攻击者远程执行任意代码等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
APISIX 是一个云原生、高性能、可扩展的微服务 API 开源网关,基于OpenResty(Nginx+Lua)和etcd来实现,对比传统的API网关,具有动态路由和热插件加载的特点。
据官方描述,该漏洞存在于 APISIX batch-requests 插件,启用该插件将会导致该漏洞的发生。攻击者可以滥用batch-requests插件发送特制请求,并借此来绕过Admin API的IP限制。
通过这种方式,可使攻击者通过 batch-requests 插件绕过 Apache APISIX 数据面的 IP 限制。如绕过 IP 黑白名单限制。
或者当用户使用 Apache APISIX 默认配置时(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batch-requests 插件调用 Admin API 。最终可导致远程代码执行。
通过这种方式,可使攻击者通过 batch-requests 插件绕过 Apache APISIX 数据面的 IP 限制。如绕过 IP 黑白名单限制。
或者当用户使用 Apache APISIX 默认配置时(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batch-requests 插件调用 Admin API 。最终可导致远程代码执行。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致远程执行任意代码
影响版本
Apache APISIX < 2.12.1
Apache APISIX < 2.10.4 (LTS versions)
Apache APISIX < 2.10.4 (LTS versions)
安全版本
Apache APISIX >= 2.12.1
Apache APISIX >= 2.10.4 (LTS versions)
Apache APISIX >= 2.10.4 (LTS versions)
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
临时缓解措施:
在受影响的 Apache APISIX 版本中,可以对 conf/config.yaml 和 conf/config-default.yaml 文件显式注释掉 batch-requests,并且重启 Apache APISIX 即可规避此风险。
临时缓解措施:
在受影响的 Apache APISIX 版本中,可以对 conf/config.yaml 和 conf/config-default.yaml 文件显式注释掉 batch-requests,并且重启 Apache APISIX 即可规避此风险。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://apisix.apache.org/zh/blog/2022/02/11/cve-2022-24112/https://nvd.nist.gov/vuln/detail/CVE-2022-24112
2022-02-14