在 Apache APISIX 2.10.2 之前的版本中,使用 Apache APISIX Ingress Controller 中$request_uri 变量存在「绕过部分限制」导致路径穿透风险的处理公告。
Apache APISIX request_uri 变量控制不当,存在路径遍历风险公告(CVE-2021-43557)
· One min read
One post tagged with "Security"
View All TagsApache APISIX Dashboard 访问控制绕过漏洞公告(CVE-2021-33190)
· One min read
由于程序通过获取请求头
X-Forwarded-For的值来进行访问控制判断,导致攻击者在调用 API 请求时,只需篡改该请求头即可实现访问控制绕过攻击。
Apache APISIX not affected by NGINX CVE-2021-23017
· One min read
On May 26, NGINX issued a security announcement that fixed a DNS resolver vulnerability (CVE -2021-23017) in the NGINX resolver.