| |
Podatność CVE-2022-24112
Publikacja: 2022-02-11
| Opis: |
An attacker can abuse the batch-requests plugin to send requests to bypass the IP restriction of Admin API. A default configuration of Apache APISIX (with default API key) is vulnerable to remote code execution. When the admin key was changed or the port of Admin API was changed to a port different from the data panel, the impact is lower. But there is still a risk to bypass the IP restriction of Apache APISIX's data panel. There is a check in the batch-requests plugin which overrides the client IP with its real remote IP. But due to a bug in the code, this check can be bypassed. |
W naszej bazie, znaleźliśmy następujące noty dla tego CVE: | Tytuł | Autor | Data |
High |
| Heyder Andrade | 07.03.2022 |
High |
| Ven3xy | 16.03.2022 |
Typ:
CWE-290 (Authentication Bypass by Spoofing)
CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)
| Ogólna skala CVSS |
Znaczenie |
Łatwość wykorzystania |
7.5/10 |
6.4/10 |
10/10 |
| Wymagany dostęp |
Złożoność ataku |
Autoryzacja |
Zdalny |
Niska |
Nie wymagana |
| Wpływ na poufność |
Wpływ na integralność |
Wpływ na dostępność |
Częściowy |
Częściowy |
Częściowy |
Referencje: |
https://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94
http://www.openwall.com/lists/oss-security/2022/02/11/3
|
|
|
Copyright 2024, cxsecurity.com
|
|
|
Polish
English