组件介绍

APISIX 是一个高性能、可扩展的微服务API网关，基于nginx（openresty）和Lua实现功能，借鉴了Kong的思路，将Kong底层的关系型数据库（Postgres）替换成了NoSQL型的etcd。

漏洞描述

近日，深信服安全团队监测到一则Apache APISIX组件存在 远程代码执行漏洞漏洞的信息，漏洞编号：CVE-2022-24112，漏洞威胁等级：高危。

该漏洞是由于缺乏正确的身份验证，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行攻击，最终获取服务器最高权限。

影响范围

目前受影响的Apache APISIX版本：

2.11.0 <= Apache APISIX < 2.12.1

Apache APISIX < 2.10.4

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。