VulnerabilitiesForward-Auth 插件能够发出非法 Smuggling 请求 (CVE-2024-32638)对于 APISIX 3.8.0, 3.9.0 版本,启用 forward-auth 插件时,APISIX 能够发出非法请求(HTTP Request Smuggling)。
VulnerabilitiesAPISIX jwt-auth 插件存在错误响应中泄露信息的风险公告(CVE-2022-29266)在 APISIX 2.13.0 及之前版本中,存在因 jwt-auth 插件引起的信息泄漏问题,现将处理信息进行相关公告。
VulnerabilitiesApache APISIX 存在改写 X-REAL-IP header 的风险公告(CVE-2022-24112)在 Apache APISIX 2.12.1 之前的版本中,启用 Apache APISIX batch-requests 插件之后会存在改写 X-REAL-IP header 风险,现将处理信息进行相关公告。
VulnerabilitiesApache APISIX Dashboard 未授权访问漏洞公告(CVE-2021-45232)在 Apache APISIX Dashboard 2.7-2.10 版本中出现了未经授权访问的安全漏洞,现将处理信息进行相关公告。
VulnerabilitiesApache APISIX request_uri 变量控制不当,存在路径遍历风险公告(CVE-2021-43557)在 Apache APISIX 2.10.2 之前的版本中,使用 Apache APISIX Ingress Controller 中$request_uri 变量存在「绕过部分限制」导致路径穿透风险的处理公告。
VulnerabilitiesApache APISIX Dashboard 访问控制绕过漏洞公告(CVE-2021-33190)由于程序通过获取请求头 X-Forwarded-For 的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
VulnerabilitiesApache APISIX 贡献者专访 | 普华永道高级安全顾问王鹏诚近日,来自普华永道华南数据安全及隐私保护团队的高级安全顾问王鹏诚向国家信息安全漏洞共享平台(CNVD)和 Apache 软件基金会,报告了 Apache APISIX 的第一个 CVE:Apache APISIX Admin API 默认 Token 漏洞(CVE-2020-13945)。为了感谢鹏诚对 Apache APISIX 社区做的贡献,我们也特意对鹏诚进行了专访。
