由于程序通过获取请求头
X-Forwarded-For
的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
#
问题描述在 Apache APISIX Dashboard 2.6 中,存在两个配置项:
conf.listen.host
的配置项,用于指定 ManagerAPI 在启动时监听哪个 IP 地址,它的默认值为0.0.0.0
(默认监听外部网络请求);conf.allow_list
的配置项,用于进行访问控制,默认只允许127.0.0.1
(即本地网络)进行访问。
由于程序通过获取请求头 X-Forwarded-For
的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
#
影响版本Apache APISIX 2.6.0
#
解决方案该问题已在 2.6.1 版本中解决,请尽快更新至最新版本,并在部署程序后修改默认用户名与密码。
#
漏洞详情漏洞公开时间:2021 年 6 月 8 日
CVE 详细信息:https://nvd.nist.gov/vuln/detail/CVE-2021-33190
#
贡献者简介该漏洞是由平安科技银河安全实验室的 Vern 发现,并向 Apache 软件基金会上报该漏洞。感谢 Vern 和平安科技银河安全实验室对 Apache APISIX 社区的贡献。