Apisix
Уязвимости
18
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
5
Высокий
8
Средний
5
Низкий
0
Затронутые диапазоны версий
0.2–0.50.7–3.16.01.0–3.14.01.2–1.52.12.0–3.16.02.99.0–3.16.03.9.0–3.9.1< 2.10.2< 2.10.4< 2.13.0< 2.13.1< 3.12.0< 3.6.1
Также сопоставлено как (исходные строки): apisix,traffic_server
Топ уязвимостей
CVE-2022-25757В Apache APISIX до версии 2.13.0, при декодировании JSON с повторяющимися ключами, lua-cjson выбирает последнее встреченное значение в качестве результата. Передавая JSON с повторяющимся ключом, злоумышленник может обойти проверку body_schema в плагине request-validation. Например, `{"string_payload":"bad","string_payload":"good"}` можно использовать для сокрытия «плохого» ввода. Системы, удовлетворяющие трем условиям ниже, подвержены этой атаке: 1. использовать проверку body_schema в плагине request-validation; 2. вышестоящее приложение использует специальную библиотеку JSON, которая выбирает первое встреченное значение, например, jsoniter или gojay; 3. вышестоящее приложение больше не проверяет ввод. Исправление в APISIX заключается в повторном кодировании проверенного JSON-ввода обратно в тело запроса на стороне APISIX. Уязвимость неправильной проверки ввода в __COMPONENT__ Apache APISIX позволяет злоумышленнику __IMPACT__. Эта проблема затрагивает Apache APISIX Apache APISIX версии 2.12.1 и более ранних версий.
CVE-2022-24112Злоумышленник может злоупотребить плагином batch-requests для отправки запросов в обход IP-ограничения Admin API. Конфигурация Apache APISIX по умолчанию (с ключом API по умолчанию) уязвима для удаленного выполнения кода. Когда ключ администратора был изменен или порт Admin API был изменен на порт, отличный от панели данных, воздействие меньше. Но все еще существует риск обхода IP-ограничения панели данных Apache APISIX. В плагине batch-requests есть проверка, которая переопределяет IP-адрес клиента его реальным удаленным IP-адресом. Но из-за ошибки в коде эту проверку можно обойти.
BDU:2022-03010Уязвимость облачного API-шлюза Apache APISIX связана с обходом аутентификации посредством спуфинга. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2026-31908Уязвимость инъекций заголовка в Apache APISIX.
Злоумышленник может воспользоваться определенной конфигурацией в плагине вперед-авту для инъекции вредоносных заголовков.
Эта проблема затрагивает Apache APISIX: от 2.12.0 до 3.15.0.
Пользователям рекомендуется обновиться до версии 3.16.0, которая устраняет проблему.
BDU:2026-05625Уязвимость плагина forward-auth облачного API-шлюза Apache APISIX связана с некорректной нейтрализацией CRLF-последовательностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности и получить несанкционированный доступ к защищаемой информации путем отправки специально сформированных HTTP-запросов
CVE-2025-27446Уязвимость неправильного назначения разрешений для критического ресурса в Apache APISIX (java-plugin-runner). Разрешения на прослушивание локальных файлов в APISIX plugin runner позволяют локальному злоумышленнику повысить привилегии. Эта проблема затрагивает Apache APISIX(java-plugin-runner): с версии 0.2.0 по 0.5.0. Пользователям рекомендуется обновиться до версии 0.6.0 или выше, которая исправляет эту проблему. Не обнаружено важной технической информации в предоставленном контексте [1].
Источники:
- [1] https://lists.apache.org/thread/qwxnxolt0j5nvjfpr0mlz6h7nrtvyzng
CVE-2026-31923Чистая текстовая передака чувствительная информация в Apache APISIX.
Это может произойти из-за `ssl_verify` конфигурации плагина openid-connect, установленной на ложный по умолчанию.
Эта проблема затрагивает Apache APISIX: от 0.7 до 3.15.0.
Пользователям рекомендуется обновиться до версии 3.16.0, которая устраняет проблему.
CVE-2025-62232Конфискованное воздействие данных через вход в базовый-автор приводит к именам пользователей и паролям, написанным на журналы ошибок и пересылаемые на поглотители журнала, когда уровень журнала - INFO/DEBUG. Это создает высокий риск компрометации с помощью доступа к журналу.
Он был зафиксирован в следующем обязательстве: https://github.com/apache/apisix/pull/12629
Пользователям рекомендуется обновиться до версии 3.14, которая устраняет эту проблему.
CVE-2023-44487Протокол HTTP/2 допускает отказ в обслуживании (потребление ресурсов сервера), поскольку отмена запроса может быстро сбросить множество потоков, как это было использовано в реальных условиях с августа по октябрь 2023 года.
CVE-2022-29266В APache APISIX до версии 3.13.1 плагин jwt-auth имеет проблему безопасности, которая раскрывает секретный ключ пользователя, поскольку сообщение об ошибке, возвращаемое из зависимости lua-resty-jwt, содержит конфиденциальную информацию.
CVE-2021-43557Плагин uri-block в Apache APISIX до версии 2.10.2 использует $request_uri без проверки. $request_uri - это полный исходный URI запроса без нормализации. Это позволяет создать URI для обхода списка блокировки в некоторых случаях. Например, когда список блокировки содержит "^/internal/", можно использовать URI, такой как `//internal/`, для его обхода. Некоторые другие плагины также имеют ту же проблему. И это может повлиять на пользовательский плагин разработчика.
BDU:2022-02939Уязвимость плагина jwt-auth облачного API-шлюза Apache APISIX связана с недостатками механизма формирования отчетов об ошибках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации
BDU:2021-06263Уязвимость плагина uri-block облачного API-шлюза Apache APISIX связана с ошибками при использовании переменной $request_uri. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти ограничений безопасности
CVE-2020-13945В Apache APISIX пользователь включил Admin API и удалил правила ограничения доступа по IP для Admin API. В итоге, токену по умолчанию разрешен доступ к данным управления APISIX. Это затрагивает версии 1.2, 1.3, 1.4, 1.5.
CVE-2024-32638Несогласованная интерпретация HTTP-запросов ('HTTP Request Smuggling') уязвимость в Apache APISIX при использовании плагина `forward-auth`. Эта проблема затрагивает Apache APISIX: с 3.8.0, 3.9.0.
Пользователям рекомендуется обновиться до версии 3.8.1, 3.9.1 или выше, которые исправляют эту проблему.
CVE-2026-31924Четкая трансмиссия чувствительной информационной уязвимости в Apache APISIX.
тенцент-облакный экспорт журнала использует простой текст HTTP
Эта проблема затрагивает Apache APISIX: от 2.99.0 до 3.15.0.
Пользователям рекомендуется обновиться до версии 3.16.0, что устраняет проблему.
CVE-2025-46647Уязвимость плагина openid-connect в Apache APISIX.
Эта уязвимость будет иметь влияние только в том случае, если будут выполнены все следующие условия:
1. 1. Используйте плагин openid-connect с режимом самоанализа
2. 2. Сервис, подключенный к openid-connect, предоставляет услуги нескольким эмитентам
3. 3. Несколько эмитентов имеют один и тот же закрытый ключ и полагаются только на то, что эмитент отличается
Если на нее повлияет эта уязвимость, это позволит злоумышленнику с действительной учетной записью на одном из эмитентов войти в другой эмитент.
Эта проблема затрагивает Apache APISIX: до 3.12.0.
Пользователям рекомендуется обновиться до версии 3.12.0 или выше.
BDU:2025-08052Уязвимость режима Introspection Mode плагина openid-connect облачного API-шлюза Apache APISIX связана с обходом аутентификации в результате использования один и того же закрытого ключа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к учетной записи пользователя