CVE-2022-24112
Оценки
Оценка EPSS
0.9442
CVSS
3.x 9.8
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор: AV:N/AC:L/Au:N/C:P/I:P/A:P
Описание
Нападавший может злоупотреблять плагином пакетных запросов для отправки запросов об обхода IP-ограничения API Admin. Конфигурация по умолчанию Apache APISIX (с ключом по умолчанию API) уязвима для удаленного выполнения кода. Когда ключ администратора был изменен или порт Admin API был изменен на порт, отличающийся от панели данных, воздействие ниже. Но все еще существует риск обойти IP-ограничение панели данных Apache APISIX. В плагине пакетных запросов есть проверка, которая переопределяет IP клиента с его реальным удаленным IP. Но из-за ошибки в коде, этот чек можно обойти.
Источники
CWE
Связанные уязвимости
Эксплойты
ID эксплойта: CVE-2022-24112
Источник: cisa
URL: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Справочные ссылки
Уязвимое ПО
Тип: Конфигурация
Поставщик: apache
Продукт: apisix
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:apache:apisix:*:*:*:*:*:*:*:*",
"versionEndExcluding": "2.10.4",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:apache:apisix:*:*:*:*:*:*:*:*",
"versionEndExcluding": "2.12.1",
"versionStartIncluding": "2.11.0",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd