Apache APISIX Dashboard api 未授权访问

CVE-2021-45232

漏洞描述

Apache APISIX 是一个动态、实时、高性能的 API 网关， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。

CVE-2021-45232

该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架，所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口，从而绕过身份验证。

该漏洞危害等级：高危

FOFA 查询

title="Apache APISIX Dashboard"

{{RootURL}}/apisix/admin/migrate/export

修复建议

1. 升级至最新安全版本 Apache APISIX Dashboard 2.10.1：https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
2. 修改默认用户名和密码，并配置访问 Apache APISIX Dashboard的白名单。

参考

[1] https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5