01
漏洞描述
Apache(音译为阿帕奇)是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。因为Apache它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定,并可做代理服务器来使用。Apache官方发布消息,声称APISIX存在信息泄露漏洞。攻击者可利用依赖库 lua-resty-jwt 中的逻辑错误问题,通过向受 jwt-auth 插件保护的路由发送恶意制作的 JSON Web Token,从而获得插件配置的敏感信息。
02
漏洞危害
针对企业,如果企业内部重要数据比如客户资料或企业机密文件等信息泄露的话,可能会影响企业的发展、动摇企业的根基,很有可能会退出市场。针对个人,如果用户信息通过该信息泄露漏洞,可能会使公民的个人信息被泄露,甚至可以溯源出用户完整信息,利用用户信息进行违法犯罪活动。
03
影响范围
Apache APISIX < 2.13.1
04
漏洞等级
高危
06
修复方案
厂商已发布升级修复漏洞,用户请尽快更新至安全版本。
引用链接:
https://apisix.apache.org/zh/downloads/
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Apache APISIX 信息泄露漏洞(CVE-2022-29266)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论