Apache Apisix 漏洞列表
共找到 24 个与 Apache Apisix 相关的漏洞
📅 加载漏洞趋势中...
-
CVE-2020-13945: Apache APISIX 默认密钥漏洞 POC
Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,Apache APISIX将使用默认的管理员Token edd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。 -
CVE-2021-45232: Apache APISIX Dashboard <2.10.1 - API Unauthorized Access POC
In Apache APISIX Dashboard before 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin.' While all APIs and authentication middleware are developed based on framework `droplet`, some API directly use the interface of framework `gin` thus bypassing their authentication. title="Apache APISIX Dashboard" -
CVE-2022-24112: Apache APISIX apisix/batch-requests RCE POC
Apache APISIX apisix/batch-requests plugin allows overwriting the X-REAL-IP header to RCE;An attacker can abuse the batch-requests plugin to send requests to bypass the IP restriction of Admin API. A default configuration of Apache APISIX (with default API key) is vulnerable to remote code execution. When the admin key was changed or the port of Admin API was changed to a port different from the data panel, the impact is lower. But there is still a risk to bypass the IP restriction of Apache APISIX's data panel. There is a check in the batch-requests plugin which overrides the client IP with its real remote IP. But due to a bug in the code, this check can be bypassed. Fofa: title="Apache APISIX Dashboard" Shodan: title:"Apache APISIX Dashboard" -
apisix-default-login: Apache Apisix Default Admin Login POC
An Apache Apisix default admin login was discovered. SHODAN: title:"Apache APISIX Dashboard" FOFA: title="Apache APISIX Dashboard" -
CVE-2020-13945: Apache APISIX - Insufficiently Protected Credentials POC
Apache APISIX 1.2, 1.3, 1.4, and 1.5 is susceptible to insufficiently protected credentials. An attacker can enable the Admin API and delete the Admin API access IP restriction rules. Eventually, the default token is allowed to access APISIX management data. -
CVE-2021-45232: Apache APISIX Dashboard <2.10.1 - API Unauthorized Access POC
In Apache APISIX Dashboard before 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin.' While all APIs and authentication middleware are developed based on framework `droplet`, some API directly use the interface of framework `gin` thus bypassing their authentication. -
CVE-2022-24112: Apache APISIX - Remote Code Execution POC
A default configuration of Apache APISIX (with default API key) is vulnerable to remote code execution. An attacker can abuse the batch-requests plugin to send requests to bypass the IP restriction of Admin API. When the admin key was changed or the port of Admin API was changed to a port different from the data panel, the impact is lower. But there is still a risk to bypass the IP restriction of Apache APISIX's data panel. There is a check in the batch-requests plugin which overrides the client IP with its real remote IP. But due to a bug in the code, this check can be bypassed. -
Apache APISIX 默认token远程代码执行漏洞 无POC
Apache APISIX(使用默认API key)中存在远程代码执行漏洞。 -
Apache APISIX 默认token远程代码执行漏洞 无POC
Apache APISIX(使用默认API key)中存在远程代码执行漏洞。 -
Apache APISIX 环境问题漏洞 无POC
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX 3.8.0版本和3.9.0版本存在环境问题漏洞,该漏洞源于存在HTTP请求走私漏洞。 -
Apache APISIX Dashboard CVE-2021-45232 未授权访问漏洞 无POC
Apache APISIX Dashboard存在未授权访问漏洞,此漏洞是缺乏校验导致的。 -
Apache APISIX Dashboard CVE-2021-45232 未授权访问漏洞 无POC
Apache APISIX Dashboard存在未授权访问漏洞,此漏洞是缺乏校验导致的。 -
Apache APISIX CVE-2022-29266信息泄露漏洞 无POC
-
Apache APISIX Dashboard 弱口令漏洞 无POC
Apache APISIX Dashboard是Apache APISIX项目的组成部分,用于管理和监视Apache APISIX。如果使用默认密码或者过于简单的弱口令,可能存在弱口令漏洞。潜在的攻击者可能会利用这个漏洞进行未授权的访问和可能的攻击。 -
Apache APISIX Dashboard /apisix/admin/migrate/import 未授权访问漏洞 无POC
Apache APISIX Dashboard /apisix/admin/migrate/import 未授权访问漏洞,攻击者可以获取后台信息 -
Apache APISIX Dashboard命令执行漏洞(CVE-2022-24112) 无POC
Apache APISIX 是一个动态、实时、高性能的开源 API网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能,该系统命令执行漏洞,攻击者可以直接获取服务器权限。 -
Apache Apisix 信息泄露漏洞 无POC
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache Apisix 3.13.1之前版本存在安全漏洞,攻击者可以通过向受 jwt-auth 插件保护的路由发送不正确的 JSON Web Token利用该漏洞通过错误消息响应获取插件配置的机密。 -
Apache APISIX 安全漏洞 无POC
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX 中存在安全漏洞,该漏洞源于产品的batch-requests插件未对用户的批处理请求进行有效限制。攻击者可通过该漏洞绕过Admin Api的限制。 以下产品及版本受到影响:Apache APISIX 2.10.4 之前版本、Apache APISIX 2.12.1 之前版本。 -
Apache APISIX 默认密钥漏洞(CVE-2020-13945) 无POC
Apache APISIX是一个高性能API网关。在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员Tokenedd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。 -
Apache Apisix 访问控制错误漏洞 无POC
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX Dashboard 存在访问控制错误漏洞,该漏洞源于 Manager API使用了两个框架,在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的,但是有些API直接使用了 框架 gin 的接口从而绕过身份验证。 -
Apache APISIX Dashboard 未授权访问漏洞(CVE-2021-45232) 无POC
Apache APISIX 是一个高性能全动态的云原生API 网关,该网关存在未授权访问接口,攻击者无需登录 Apache APISIX Dashboard即可访问某些接口,从而进行未授权更改或获取 Apache APISIX Route、Upstream、Service 等相关配置信息,并造成SSRF、攻击者搭建恶意流量代理和任意代码执行等问题。 -
APACHE APISIX 存在默认口令 无POC
Apache APISIX平台是一个国产微服务网关。攻击者可利用默认口令进入管理后台 -
Apache Apisix 命令注入漏洞 无POC
Apache Apisix是美国阿帕奇(Apache)基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX 存在命令注入漏洞,该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。 -
Apache Apisix 安全漏洞 无POC
Apache Apisix是Apache基金会的一个云原生的微服务API网关服务。该软件基于 OpenResty 和 etcd 来实现,具备动态路由和插件热加载,适合微服务体系下的 API 管理。 Apache APISIX 存在安全漏洞,该漏洞源于用户启用了管理API并删除了管理API访问IP限制规则。最终,默认令牌被允许访问APISIX管理数据。以下产品及版本受到影响:1.2版本,1.3版本,1.4版本,1.5版本。