CVE-2022-25757 in APISIXinformazioni

Riassunto

di VulDB • 06/07/2026

In Apache APISIX precedente alla versione 2.13.0, durante la decodifica di JSON contenente chiavi duplicate, lua-cjson sceglie l'ultimo valore incontrato come risultato. Trasmettendo un JSON con una chiave duplicata, l'attaccante può eludere la validazione body_schema nel plugin request-validation. Ad esempio, `{"string_payload":"bad","string_payload":"good"}` può essere utilizzato per nascondere l'input "bad". I sistemi che soddisfano le tre condizioni seguenti sono colpiti da questo attacco: 1. utilizzano la validazione body_schema nel plugin request-validation; 2. l'applicazione upstream utilizza una libreria JSON speciale che sceglie il primo valore incontrato, come jsoniter o gojay; 3. l'applicazione upstream non convalida ulteriormente l'input. La correzione in APISIX consiste nel ricodificare l'input JSON validato nuovamente nel corpo della richiesta dal lato di APISIX. Una vulnerabilità di Improper Input Validation (Convalida impropria dell'input) in __COMPONENT__ di Apache APISIX consente a un attaccante di __IMPACT__. Questo problema interessa Apache APISIX versione 2.12.1 e le versioni precedenti.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Prenotare

22/02/2022

Divulgazione

28/03/2022

Moderazione

accettato

CPE

pronto

EPSS

0.02384

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!