CVE-2022-24112 in APISIX
Riassunto
di VulDB • 08/07/2026
Un attaccante può abusare del plug-in batch-requests per inviare richieste e aggirare la restrizione degli indirizzi IP dell'API Admin. Una configurazione predefinita di Apache APISIX (con chiave API predefinita) è vulnerabile all'esecuzione remota di codice (RCE). Quando la chiave admin viene modificata o la porta dell'Admin API viene cambiata in una porta diversa da quella del pannello dati, l'impatto risulta inferiore. Tuttavia, sussiste ancora il rischio di aggirare la restrizione degli indirizzi IP del pannello dati di Apache APISIX. Il plug-in batch-requests prevede un controllo che sovrascrive l'indirizzo IP del client con il suo vero indirizzo IP remoto. A causa però di un bug nel codice, tale controllo può essere bypassato.
If you want to get best quality of vulnerability data, you may have to visit VulDB.