1、组件介绍

APISIX 是一个高性能、可扩展的微服务 API 网关，基于 nginx（openresty）和 Lua 实现功能，借鉴了 Kong 的思路，将 Kong 底层的关系型数据库（Postgres）替换成了NoSQL 型的 etcd。Apache APISIX Dashboard 设计的目的是让用户通过前端界面尽可能轻松地操作 Apache APISIX。

2、漏洞描述

2021年12月28日，深信服安全团队监测到一则 Apache APISIX Dashboard 组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2021-45232，漏洞威胁等级：高危。

该漏洞是由于 Apache APISIX Dashboard 有些接口直接使用了 gin 框架导致未授权访问进而可导致远程代码执行，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

Apache APISIX  Dashboard 可能受漏洞影响的资产广泛分布于世界各地，主要集中在中国、美国，国内使用量较多且危害较大需要进一步进行关注。

目前受影响的 Apache APISIX  Dashboard 版本：

2.7≤ Apache APISIX  Dashboard <2.10.1

1、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/apache/apisix-dashboard

2、深信服解决方案

【深信服下一代防火墙AF】预计2021年12月31日，可防御此漏洞， 建议用户将深信服下一代防火墙开启 IPS/WAF 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】预计2021年12月31日，结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙AF】等产品实现对攻击者IP的封堵。