CVE-2022-24112
apisix/batch-requests plugin allows overwriting the X-REAL-IP header
Em resumo
Um defeito no plugin batch-requests do Apache APISIX permite que atacantes ignorem as restrições de IP e possivelmente executem código no servidor. Ao manipular requisições, um invasor pode se passar por um endereço IP confiável e ganhar acesso não autorizado à API de Administração.
Detalhe técnico
O plugin batch-requests tenta validar endereços IP do cliente sobrescrevendo-os com o IP remoto real; porém, um erro de lógica nesta validação permite que atacantes desviem a verificação por meio de requisições em lote. Isso viabiliza acesso não autorizado à Admin API e, com credenciais padrão, pode resultar em execução remota de código. Requer acesso de rede à instância APISIX.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An attacker can abuse the batch-requests plugin to send requests to bypass the IP restriction of Admin API. A default configuration of Apache APISIX (with default API key) is vulnerable to remote code execution. When the admin key was changed or the port of Admin API was changed to a port different from the data panel, the impact is lower. But there is still a risk to bypass the IP restriction of Apache APISIX's data panel. There is a check in the batch-requests plugin which overrides the client IP with its real remote IP. But due to a bug in the code, this check can be bypassed.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Apache Software Foundation · Apache APISIXPoCs públicas encontradas — 13
githubgithub.com/Mr-xn/CVE-2022-24112★ 43githubgithub.com/M4xSec/Apache-APISIX-CVE-2022-24112★ 15githubgithub.com/twseptian/cve-2022-24112★ 9githubgithub.com/SecNN/CVE-2022-24112★ 8githubgithub.com/Mah1ndra/CVE-2022-24112★ 7githubgithub.com/Acczdy/CVE-2022-24112_POC★ 5githubgithub.com/kavishkagihan/CVE-2022-24112-POC★ 2githubgithub.com/btar1gan/exploit_CVE-2022-24112★ 1githubgithub.com/CrackerCat/CVE-2022-24112★ 0githubgithub.com/fatkz/CVE-2022-24112★ 0exploitdbwww.exploit-db.com/exploits/50829não verificadocve_referencepacketstormsecurity.com/files/166328/Apache-APISIX-2.12.1-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/166228/Apache-APISIX-Remote-Code-Execution.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
http://packetstormsecurity.com/files/166228/Apache-APISIX-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/166328/Apache-APISIX-2.12.1-Remote-Code-Execution.htmlhttps://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2022-24112http://www.openwall.com/lists/oss-security/2022/02/11/3