CVE-2022-24112 in APISIXinformazioni

Riassunto

di VulDB • 08/07/2026

Un attaccante può abusare del plug-in batch-requests per inviare richieste e aggirare la restrizione degli indirizzi IP dell'API Admin. Una configurazione predefinita di Apache APISIX (con chiave API predefinita) è vulnerabile all'esecuzione remota di codice (RCE). Quando la chiave admin viene modificata o la porta dell'Admin API viene cambiata in una porta diversa da quella del pannello dati, l'impatto risulta inferiore. Tuttavia, sussiste ancora il rischio di aggirare la restrizione degli indirizzi IP del pannello dati di Apache APISIX. Il plug-in batch-requests prevede un controllo che sovrascrive l'indirizzo IP del client con il suo vero indirizzo IP remoto. A causa però di un bug nel codice, tale controllo può essere bypassato.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

28/01/2022

Divulgazione

11/02/2022

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.96182

KEV

si

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!