当前位置: 首页 > news >正文

Apache APISIX 的 Admin API 默认访问令牌漏洞(CVE-2020-13945)漏洞复现

news 2025/8/17 20:57:14

漏洞描述

Apache APISIX 是一个动态、实时、高性能的 API 网关。Apache APISIX 有一个默认的内置 API 令牌,可用于访问所有 admin API,通过 2.x 版本中添加的参数导致远程执行 LUA 代码。

漏洞环境及利用

启动docker环境

访问9080端口

通过 admin api 向 APISIX 添加一条新的邪恶路由器规则,并带有默认的 token:

然后,使用这个邪恶的路由器来执行任意命令:

http://your-ip:9080/attack?cmd=id

http://www.lryc.cn/news/226921.html

相关文章:

  • Clickhouse学习笔记(3)—— Clickhouse表引擎
  • WebSocket是什么以及其与HTTP的区别
  • Flutter 实战:构建跨平台应用
  • Python中68个内置函数的使用与归类
  • AGV無人搬送車控制系统Pytorn
  • 使用MVS-GaN HEMT紧凑模型促进基于GaN的射频和高电压电路设计
  • Android13分享热点设置安全性为wpa3
  • 2023-11-12 LeetCode每日一题(Range 模块)
  • 【六袆 - Framework】Angular-framework;前端框架Angular发展的由来0001;
  • JAVA集合学习
  • 【Linux】语言层面缓冲区的刷新问题以及简易模拟实现
  • Mac安装与配置eclipse
  • TCP协议(建议收藏)
  • Interactive Analysis of CNN Robustness
  • Java,多线程,线程的通信机制
  • ArcGIS进阶:栅格计算器里的Con函数使用方法
  • 小程序多文件上传 Tdesign
  • Java多线程锁
  • 【Docker】Web应用通过jar打包成WAR文件
  • Elasticsearch 外部词库文件更新
  • OpenTiny Vue 组件库支持 Vue2.7 啦!
  • 蒙特卡罗算法
  • python爬虫hook定位技巧、反调试技巧、常用辅助工具
  • Jmeter —— jmeter参数化实现
  • Day57_《MySQL索引与性能优化》摘要
  • 蓝桥杯每日一题2023.11.11
  • 『Linux升级路』基础开发工具——vim篇
  • 【Excel】补全单元格值变成固定长度
  • HackTheBox-Starting Point--Tier 2---Base
  • 算法导论笔记4:散列数 hash