Уязвимость внедрения заголовка в Apache APISIX. Злоумышленник может воспользоваться определенной конфигурацией плагина прямой аутентификации для внедрения вредоносных заголовков. Эта проблема затрагивает Apache APISIX: с 2.12.0 по 3.15.0.
Пользователям рекомендуется выполнить обновление до версии 3.16.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Header injection vulnerability in Apache APISIX. The attacker can take advantage of certain configuration in forward-auth plugin to inject malicious headers. This issue affects Apache APISIX: from 2.12.0 through 3.15.0. Users are recommended to upgrade to version 3.16.0, which fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Apisix
cpe:2.3:a:apache:apisix:*:*:*:*:*:*:*:*
|
2.12.0
|
3.16.0
|