Apache APISIX ha publicado una actualización que subsana una vulnerabilidad de criticidad alta, que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema vulnerable.
La vulnerabilidad identificada como CVE-2022-24112 de severidad alta, tiene una puntuación de 7.3. Esta se relaciona a una función desconocida del plugin batch-requests (cuando estuviera habilitado), que permitiría a un atacante sobrescribir la cabecera X-REAL-IP y así evadir restricciones de direcciones IP configuradas en listas blancas y negras, e incluso (si la configuración de Apache APISIX se encuentra configurada por defecto, con el Admin Key por defecto y ningún puerto de administración adicional establecido) invocar a la API de administración para realizar ejecución remota de código (RCE) en el sistema afectado.
Las versiones afectadas de Apache APISIX son:
- Apache APISIX versiones entre 1.3 ~ 2.12.1 (excepto 2.12.1)
- Apache APISIX versiones LTS entre 2.10.0 ~ 2.10.4 (excepto 2.10.4)
Para evitar una posible explotación, recomendamos agregar la siguiente opción de configuración para deshabilitar el plugin batch-requests, en caso de que no sea necesaria su utilización:
- conf/config.yaml,
- conf/config-default.yaml y
- Reiniciar Apache APISIX
Adicionalmente recomendamos instalar las actualizaciones proveídas por Apache a las versiones correspondientes:
- Apache APISIX 2.12.1:
https://github.com/apache/apisix/blob/release/2.12/CHANGELOG.md#2121
- Apache APISIX 2.10.4:
https://github.com/apache/apisix/blob/release/2.10/CHANGELOG.md#2104
Referencias: