在 Apache APISIX 2.12.1 之前的版本中,启用 Apache APISIX
batch-requests插件之后会存在改写 X-REAL-IP header 风险,现将处理信息进行相关公告。
Apache APISIX 存在改写 X-REAL-IP header 的风险公告(CVE-2022-24112)
· One min read
One post tagged with "Security"
View All TagsApache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)
· One min read
在 Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。
Apache APISIX request_uri 变量控制不当,存在路径遍历风险公告(CVE-2021-43557)
· One min read
在 Apache APISIX 2.10.2 之前的版本中,使用 Apache APISIX Ingress Controller 中$request_uri 变量存在「绕过部分限制」导致路径穿透风险的处理公告。
Apache APISIX Dashboard 访问控制绕过漏洞公告(CVE-2021-33190)
· One min read
由于程序通过获取请求头
X-Forwarded-For的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
Apache APISIX not affected by NGINX CVE-2021-23017
· One min read
On May 26, NGINX issued a security announcement that fixed a DNS resolver vulnerability (CVE -2021-23017) in the NGINX resolver.