Уязвимость передачи конфиденциальной информации в открытом виде в Apache APISIX. Это может произойти из-за того, что для `ssl_verify` в конфигурации плагина openid-connect по умолчанию установлено значение false. Эта проблема затрагивает Apache APISIX: версии с 0.7 по 3.15.0.
Пользователям рекомендуется выполнить обновление до версии 3.16.0, которая устраняет проблему.
Показать оригинальное описание (EN)
Cleartext Transmission of Sensitive Information vulnerability in Apache APISIX. This can occur due to `ssl_verify` in openid-connect plugin configuration being set to false by default. This issue affects Apache APISIX: from 0.7 through 3.15.0. Users are recommended to upgrade to version 3.16.0, which fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Apache Apisix
cpe:2.3:a:apache:apisix:*:*:*:*:*:*:*:*
|
0.7
|
3.16.0
|