漏洞描述 ShenYu(原名 Soul)是一款高性能,响应式的网关,同时也是应用于所有微服务场景的,可扩展、高性能、响应式的 API网关解决方案。用户无需身份验证即可访问 /plugin api。此问题影响 Apache ShenYu 2.4.0 和 2.4.1。
相关漏洞推荐 POC CVE-2021-37580: Apache ShenYu Admin JWT - Authentication Bypass POC CVE-2022-23944: Apache ShenYu Admin Unauth Access POC CVE-2021-37580: Apache ShenYu Admin JWT authentication bypass POC CVE-2022-23944: Apache ShenYu Admin Unauth Access Apache ShenYu CVE-2022-23944 信息泄露漏洞 Apache Shenyu存在任意用户添加漏洞 Apache ShenYu JWT身份绕过(CVE-2021-37580) Apache ShenYu未授权访问漏洞 Apache ShenYu 后台存在默认口令