Apache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)

Apache APISIX Dashboard 安全漏洞修复与防范措施
最新推荐文章于 2025-08-26 17:24:23 发布
原创 最新推荐文章于 2025-08-26 17:24:23 发布 · 2.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache #dashboard #安全

问题描述

攻击者无需登录 Apache APISIX Dashboard 即可访问某些接口,从而进行未授权更改或获取 Apache APISIX Route、Upstream、Service 等相关配置信息,并造成 SSRF、攻击者搭建恶意流量代理和任意代码执行等问题。

影响版本

Apache APISIX Dashboard 2.7 - 2.10 版本

解决方案

请及时更新至 Apache APISIX Dashboard 2.10.1 及以上版本。

安全建议

建议用户及时更改默认用户名与密码,并限制来源 IP 访问 Apache APISIX Dashboard。

漏洞详情

漏洞公开时间:2021 年 12 月 27 日

CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-45232

贡献者简介

该漏洞由源堡科技安全团队的朱禹成发现,并向 Apache 软件基金会上报该漏洞。感谢各位对 Apache APISIX 社区的贡献。

图片

关于 Apache APISIX

Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。

Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。目前已被普华永道数据安全团队、腾讯蓝

最低0.47元/天 解锁文章
Apache APISIX Dashboard 未授权访问漏洞CVE-2021-45232
Bird&Bird
03-13 1293
Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕
漏洞预警:CVE-2021-45232 Apache APISIX Dashboard 未授权访问(附批量扫描POC)
热门推荐
土豆的博客
12-29 7万+
目录 Part1 漏洞描述 Part2 风险等级 Part3 漏洞影响 Part4 漏洞分析 4.1 漏洞源码 4.2 漏洞验证 4.3 POC Part5 修复建议 Part1 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关,Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架gin和drople
移动应用渗透测试:API 接口漏洞的识别与利用技巧
最新发布
BEST_yundun的博客
08-26 1254
移动应用API渗透测试核心要点:重点关注6类高频漏洞未授权访问、敏感信息泄露、参数篡改、限流绕过、文件上传风险、Token管理缺陷),通过抓包篡改、批量请求、参数注入等方法检测漏洞。实战中可利用越权漏洞窃取数据或控制业务,通过SQL/命令注入获取服务器权限,伪造Token实现持久化访问。防御建议包括严格权限校验、HTTPS加密传输、输入参数过滤、完善限流机制及安全Token管理。该体系覆盖API安全测试全流程,兼顾漏洞识别与修复指导。
Apache APISIX Dashboard 未授权访问(CVE-2021-45232 )
一期一会的博客
01-06 2358
0x00 漏洞详情 Apache APISIX是一个实时、动态、高性能的API网关。Apache APISIX Dashboard旨在让用户尽可能容易地通过前端界面来操作Apache APISIX。 在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了两个框架,在框架gin的基础上引入了框架droplet。所有API和认证中间件都是基于框架 droplet开发的,但有些API直接使用了框架gin的接口,从而绕过身份验证,导致未授权访问。 0x01影响版本 Apa
cve-2021-45232Apache APISIX Dashboard身份认证绕过自检方法
weixin_48421613的博客
12-29 3696
漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
Adminxe的博客
12-29 3370
0x00 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE-2021-45232漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的..
Apache APISIX Dashboard API权限绕过导致RCE(CVE-2021-45232
shierbai的博客
05-23 628
Apache APISIX Dashboard 2.10.1版本前存在两个API`/apisix/admin/migrate/export`和`/apisix/admin/migrate/import`,他们没有经过`droplet`框架的权限验证,导致未授权的攻击者可以导出、导入当前网关的所有配置项,包括路由、服务、脚本等。然后访问`http://your-ip:9000/`即可看到Apache APISIX Dashboard的登录页面。进去ggdG清除内容复制进来。
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232
kukudeshuo的博客
12-30 3014
Apache APISIX Dashboard 身份验证绕过漏洞CVE-2021-45232漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIXCVE编号 CVE-2021-45232 FOFA语句 title="Apache APISIX Dashboard" 影响范围 Apache
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
m0_58596609的博客
01-17 2930
CVE-2021-45232 Apache APISIX Dashboard RCE漏洞复现
Apache APISIX Dashboard 未经认证访问导致 RCE(CVE-2021-45232漏洞复现
weixin_56537388的博客
11-09 1477
在 2.10.1 之前的 Apache APISIX Dashboard 中,Manager API 使用了两个框架,并在框架的基础上引入了框架,所有的 API 和认证中间件都是基于框架开发的。但是这些 API 中有 2 个,并且直接使用框架的接口,它们能够绕过身份验证。通过使用这 2 个未经认证的 API 端点,攻击者可以导出和导入任意 Apache APISIX 配置,包括路由器、服务、脚本等,从而导致请求意外 URL (SSRF) 或执行任意 LUA 脚本 (RCE)。docker环境搭建。
每日一漏洞cve-2021-45232
jjjj1029056414的博客
07-27 267
复现漏洞cve-2021-45232Apache APISIX Dashboard API权限绕过导致RCE)
CVE-2021-45232 Apache-apisix-dashboard RCE复现
weixin_46137328的博客
01-10 1999
0x00 概述Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache AP...
Vulhub靶机 Apache APISIX Dashboard RCE(CVE-2021-45232)(渗透测试详解)
2301_78721909的博客
02-26 472
Vulhub靶机 Apache APISIX Dashboard RCE(CVE-2021-45232)(渗透测试详解)
漏洞复现】CVE-2021-45232 Apache-apisix-dashboard
m0_53121608的博客
07-13 249
漏洞复现】CVE-2021-45232 Apache-apisix-dashboard
CVE-2021-45232漏洞复现
派大星的博客
01-04 8287
cve-2021-45232漏洞复现
CVE-2021-45232 Apache-apisix-dashboard 未授权到RCE
Keepb1ue的博客
01-20 6019
Apache APISIX介绍 Apache APISIX是一个动态、实时、高性能的API网关。提供了丰富的流量管理功能,如负载均衡、动态上游、canary释放、断路、认证、可观察性等。也可以使用Apache APISIX来处理传统的南北向流量,以及服务之间的东西向流量。它也可以用作k8s的ingress控制器。 漏洞概述 该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet
关于Kubernetes Dashboard漏洞CVE-2018-18264的修复公告
weixin_33806300的博客
01-08 500
阿里云容器服务Kubernetes 已修复Dashboard漏洞CVE-2018-18264,本文介绍该漏洞的影响版本及解决方法。阿里云容器服务Kubernetes内建的Kubernetes Dashboard是托管形态且已进行过安全增强,不受此漏洞影响。 背景信息 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-20...
Apache APISIX DashboardCVE-2022-24112)命令执行漏洞方式利用
include_voidmain的博客
04-11 8313
0x01 什么是Apache APISIX Dashboard Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。 0x02 漏洞详情 漏洞编号:CVE-2022-24112 影响版本:Apache APISIX < 2.12.1 Apache APIS
Dapr Dashboard configurations未授权访问漏洞(CVE-2022-38817)
07-03
Dapr Dashboard 是 Dapr(分布式应用运行时)项目的一部分,提供了一个可视化的界面来监控和管理 Dapr 应用程序。CVE-2022-38817 是该组件中存在的一个未授权访问漏洞,攻击者可以在未经授权的情况下访问 Dapr Dashboard,并从中获取敏感信息,例如 Redis、MongoDB 和 RabbitMQ 等云服务的明文配置信息。这些配置信息可能包含数据库连接地址、用户名和密码等,进一步可能导致整个系统的数据泄露或被恶意利用 [^1]。 ### 影响范围 该漏洞主要影响使用了 Dapr Dashboard 的部署环境,尤其是在 Kubernetes 或其他容器化平台中暴露了 Dapr Dashboard 接口但未进行适当权限控制的场景。由于 Dapr 通常用于构建微服务架构,因此在多租户环境中,这种未授权访问的风险尤为严重。如果攻击者能够访问到 Dapr Dashboard,则可以获取目标系统中多个关键服务的配置信息,并可能通过这些信息进一步渗透到内部网络 [^1]。 ### 修复方法 针对 CVE-2022-38817 漏洞,建议采取以下措施进行修复: 1. **升级 Dapr 版本**:确保使用的 Dapr 版本为 1.9.4 或更高版本。官方已经在此版本中修复了相关的安全问题,并增强了身份验证机制。 ```bash # 升级 Dapr CLI 到最新版本 wget -q https://raw.githubusercontent.com/dapr/cli/master/install/install.sh -O - | /bin/bash ``` 2. **启用身份验证与授权**:在部署 Dapr Dashboard 时,必须配置适当的认证和授权策略。可以通过集成 OAuth2、OpenID Connect 或其他企业级身份提供商(如 Keycloak、Okta)来限制对 Dashboard访问权限 [^1]。 3. **限制网络访问**:通过 Kubernetes Network Policies 或其他网络隔离手段,限制对 Dapr Dashboard 的外部访问。仅允许特定 IP 范围或内部网络中的用户访问该服务。 4. **最小权限原则**:检查并调整 Dapr Dashboard 所使用的 ServiceAccount 权限。避免将 `cluster-admin` 权限直接绑定给 Dashboard 使用的账户。推荐做法是为其分配最小必要的 RBAC 角色,以降低潜在攻击面 [^4]。 ```bash # 示例:创建具有有限权限的角色绑定 kubectl create rolebinding dashboard-limited-access --role=dapr-dashboard-role --serviceaccount=kubernetes-dashboard:dapr-dashboard ``` 5. **定期审计日志与配置**:启用并审查 Dapr 组件的日志记录功能,及时发现异常访问行为。同时,定期检查所有相关服务的配置文件,确保没有遗漏的安全设置。 6. **安全加固建议**:对于生产环境中的 Dapr 部署,建议遵循 CIS Kubernetes Benchmark 和 Dapr 官方安全指南,实施全面的安全加固措施。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

API7.ai 技术团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值