漏洞描述
Kong API 网关 (https://github.com/Kong/kong) 是目前最受欢迎的云原生 API网关之一,有开源版和企业版两个分支,被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件,为云原生应用提供鉴权,转发,负载均衡,监控等能力。腾讯蓝军在红蓝对抗实战演练中发现云原生API 网关的特性和能力,可能成为从外网渗透进内网的新入口;且此前 Kong 在容器场景的默认配置、文档和实践,都可能会导致用户将这个风险暴露给外网。
开源云原生API网关 Kong信息泄露(CVE-2020-11710)
PoC代码
暂无相关漏洞推荐
-
konga-default-jwt-key: KONGA Arbitrary user login vulnerability POC
2025-09-01 | konga-default-jwt-keyThe default key of Konga JWT is oursecret, which can forge arbitrary user permissions FOFA: app=&quo... -
kongsoft-vgm-antivirus-wall-rce: 金山 VGM防毒墙 downFile.php 任意文件读取 POC
2025-09-01 | kongsoft vgm防毒墙金山 VGM防毒墙 downFile.php文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件 "金山VGM" -
shikongzhiyou-erp-uploadstudiofile-fileupload: 时空智友ERP系统 uploadStudioFile 任意文件上传漏洞 POC
2025-09-01 | shikongzhiyou-erp时空智友ERP系统时空智友ERP系统updater.uploadStudioFile存在任意文件上传漏洞,攻击者可利用该漏洞上传恶意软件,获取对服务器的远程访问权限或者破坏系统。 FOFA:body="log... -
CVE-2020-10199: Nexus Repository before 3.21.2 allows JavaEL Injection POC
2025-09-01 | Nexus Repository漏洞触发需要任意账户权限 body="Nexus Repository Manager" app="Nexus-Repository-Manager" -
CVE-2020-11455: LimeSurvey 4.1.11 - Path Traversal POC
2025-09-01 | LimeSurveyLimeSurvey before 4.1.12+200324 contains a path traversal vulnerability in application/controllers/a...