由于程序通过获取请求头
X-Forwarded-For的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
问题描述
在 Apache APISIX Dashboard 2.6 中,存在两个配置项:
conf.listen.host的配置项,用于指定 ManagerAPI 在启动时监听哪个 IP 地址,它的默认值为0.0.0.0(默认监听外部网络请求);conf.allow_list的配置项,用于进行访问控制,默认只允许127.0.0.1(即本地网络)进行访问。
由于程序通过获取请求头 X-Forwarded-For 的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
影响版本
Apache APISIX 2.6.0
解决方案
该问题已在 2.6.1 版本中解决,请尽快更新至最新版本,并在部署程序后修改默认用户名与密码。
漏洞详情
漏洞公开时间:2021 年 6 月 8 日
CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-33190
贡献者简介
该漏洞是由平安科技银河安全实验室的 Vern 发现,并向 Apache 软件基金会上报该漏洞。感谢 Vern 和平安科技银河安全实验室对 Apache APISIX 社区的贡献。
Click to Preview