В docker-kong (для Kong) до версии 2.0.3 обнаружена проблема. Порт API администратора может быть доступен на интерфейсах, отличных от 127.0.0.1. ПРИМЕЧАНИЕ: Поставщик утверждает, что эта CVE не является уязвимостью, поскольку имеет неточный объем ошибки и ссылки на исправления. «1) Неточный объем ошибки - Область проблемы была в шаблоне docker-compose Kong, а не в самом образе Docker Kong. В действительности эта проблема не связана ни с какой версией шлюза Kong. Таким образом, описание, в котором говорится: «В docker-kong (для Kong) до версии 2.0.3 обнаружена проблема», является неверным. Эта проблема возникает только в том случае, если пользователь решил запустить Kong через docker-compose, не следуя документации по безопасности. Шаблон docker-compose предназначен для того, чтобы пользователи могли быстро начать работу с Kong и предназначен только для целей разработки. 2) Неверные ссылки на исправления - CVE в настоящее время указывает на улучшение документации в качестве ссылки «Исправление»: https://github.com/Kong/docs.konghq.com/commit/d693827c32144943a2f45abc017c1321b33ff611. Эта ссылка на самом деле указывает на улучшение, внесенное Kong Inc для защиты от дураков. Однако инструкции о том, как защитить API администратора, уже были хорошо задокументированы здесь: https://docs.konghq.com/2.0.x/secure-admin-api/#network-layer-access-restrictions, которая была впервые опубликована еще в 2017 году (как показано в этом коммите: https://github.com/Kong/docs.konghq.com/commit/e99cf875d875dd84fdb751079ac37882c9972949) Наконец, гиперссылка на https://github.com/Kong/kong (несвязанный репозиторий Github с этой проблемой) в списке гиперссылок не содержит какой-либо значимой информации по этой теме.