Apache APISIX < 2.13.0 输入验证

critical Nessus 插件 ID 161977

简介

远程主机上安装的应用程序缺少供应商提供的安全更新。

描述

远程主机上安装的 Apache APISIX 版本低于 2.13.0。因此会受到不当输入验证漏洞影响。当使用解码包含重复密钥的 JSON 时,lua-cjson 会选择最后出现的值作为结果。通过传递包含重复密钥的 JSON,攻击者可绕过 request-validation 插件中的 body_schema 验证。满足下列三个条件的系统会受到此攻击的影响:1. 在 request-validation 插件中使用 body_schema 验证 2. 上游应用程序使用选择第一个出现的值的特殊 JSON 库,例如 jsoniter 或 gojay 3. 上游应用程序不再验证输入。

请注意,Nessus 尚未测试这些问题,而是只依靠应用程序自我报告的版本号来判断。

解决方案

升级至 Apache APISIX 2.13.0 或更新版本。

另见

https://github.com/apache/apisix/blob/release/2.13/CHANGELOG.md#2130

https://lists.apache.org/thread/03vd2j81krxmpz6xo8p1dl642flpo6fv

插件详情

严重性: Critical

ID: 161977

文件名: apache_apisix_cve-2022-25757.nasl

版本: 1.2

类型: remote

系列: Misc.

发布时间: 2022/6/9

最近更新时间: 2022/6/13

配置: 启用偏执模式

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: AV:N/AC:M/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2022-25757

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:apisix

必需的 KB 项: installed_sw/Apache APISIX, Settings/ParanoidReport

易利用性: No known exploits are available

补丁发布日期: 2022/3/28

漏洞发布日期: 2022/3/28

参考资料信息

CVE: CVE-2022-25757