Apache APISIX Güvenlik Zafiyeti

Apache APISIX Güvenlik Zafiyeti

Apache APISIX ile ilgili olarak CVSS 3.1 skoru 9.8 olan kritik* bir güvenlik zafiyeti yayınlanmıştır.

Bir saldırganın batch-requests plugin’ini sömürerek Admin API’sinin IP sınırlandırma özelliğini aşabileceği tespit edilmiştir. Apache APISIX’in (default API anahtarı ile birlikte) default yapılandırmasında bulunan bir konfigürasyonun da uzaktan kod çalıştırmasına neden olabileceği görülmüştür.

Etkilenen Sistemler

Aşağıdaki sistemlerin etkilendiği belirtilmiştir;

• Apache batch-request plugin ve admin API

IoC’ler

-

Çözüm Önerileri

Aşağıda belirtilen güncelleme/işlemin yapılması önerilmiştir.
1. batch-requests plugin’inin devre dışı bırakılması
ya da
2. 2.10.4 veya 2.12.1 versiyonuna güncellenmesi

CVE / CWE

CVE-2022-24112

Ek Bilgiler

• https://nvd.nist.gov/vuln/detail/CVE-2022-24112
• https://www.openwall.com/lists/oss-security/2022/02/11/3
• https://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94

* CVSS 3.1 skoru (10 üzerinden) 7.0-8.9 olanlar “yüksek”, 9.0-10.0 olanlar “kritik” zafiyet olarak değerlendirilmektedir.