Published: 27/12/2021 Updated: 07/01/2022

CVSS v2 Base Score: 7.5 | Impact Score: 6.4 | Exploitability Score: 10

CVSS v3 Base Score: 9.8 | Impact Score: 5.9 | Exploitability Score: 3.9

VMScore: 672

Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

In Apache APISIX Dashboard prior to 2.10.1, the Manager API uses two frameworks and introduces framework `droplet` on the basis of framework `gin`, all APIs and authentication middleware are developed based on framework `droplet`, but some API directly use the interface of framework `gin` thus bypassing the authentication.

Vulnerable Product	Search on Vulmon	Subscribe to Product
apache apisix dashboard

Apache APISIX简介 Apache APISIX 是一个动态、实时、高性能的 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。安全申明本博客主要用于学习记录相关安全事件和漏洞文章，供

cve-2021-45232 漏洞描述 Apache APISIX 是一个动态、实时、高性能的 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框�

关于我公众号: leveryd 我关注: 安全产品、云/云原生、应用安全以下是公众号上的原创文章 WAF 开源WAF规则运营入门安全规则中的正则表达式基于openresty-lua的反爬插件反爬检测小结(1) WAF攻防(5) WAF攻防实践(4) 你的扫描器可以绕过防火墙么（三）你的扫描器可以绕过防火墙么？（二）

一键批量检测poc

Apache APISIX Dashboard 接口未授权访问说明该工具集成了fofa和poc一键检测功能、实现了一键从fofa爬取和一键检测（边爬边测）使用方法使用版本(Version)：python3 测试前要先更改自己的fofa_token值与更改变量fofa语法自定义测试范围 python3 CVE-2021-45232py 3 1 结果会保存在resualttxt中

Apisix系列漏洞：未授权漏洞（CVE-2021-45232）、默认秘钥（CVE-2020-13945）批量探测。

Apisix_Crack 概述 Apisix系列漏洞探测利用工具，包括未授权访问漏洞（CVE-2021-45232）和默认秘钥漏洞（CVE-2020-13945），支持批量探测利用。使用方法批量探测：文件中逐行写入需要检测的URL，参数-TF 指定文件 -t 并发数量单个目标探测：-T xxxx 执行效果玉兔安全致力于web安全、红蓝

A vulnerability scanner that detects CVE-2021-45232 vulnerabilities.

westone-CVE-2021-45232-scanner Apache APISIX Dashboard earlier versions (2101) has security vulnerability on unauthorized access the Manager API uses two frameworks and introduces framework droplet on the basis of framework gin, all APIs and authentication middleware are developed based on framework droplet, but some API directly use the interface of framework gin thus bypas

CVE-2021-45232-POC url:carbonnowsh/FcD8uSynpCwc7Dpk03Qb

CVE-2021-45232 RCE POC Screenshots Authors I slightly modified the original project ：githubcom/wuppp/cve-2021-45232-exp

f11t3rStAr 👋 🔭 CVE、CNVD： CVE-2021-45232(Unauthorized Access Vulnerability RCE) CNVD-2021-08422(SQLi) CNVD-2021-13441(GETSHELL)

CVE-2021-45232-RCE

Apache APISIX Dashboard RCE usage: [-h] [-u URL] [-p PORT] [-c CMD] optional arguments: -h, --help show this help message and exit -u URL, --url URL target url (eg: 127001:9000) -p PORT, --port PORT apisix management port (default: 9080) -c CMD, --cmd CMD command (default: ifconfig) reference https:

一些关于go代码安全漏洞的整理

持续更新！！！ sql注入 sql注入 ssrf ssrf xml注入 xml注入 xss xss 代码注入代码注入(cve-2018-6574) 命令执行命令执行文件上传文件上传 gitea条件竞争，任意文件写入文件读取_下载文件读取_下载 gitea路径穿越漏洞 grafana任意文件读取未授权访问 Gitea140未授权访问 CVE-2021-45232-Apache-APISIX-Dashboa

Apache APISIX Dashboard未授权访问漏洞(CVE-2021-45232) FOFA 查询 title="Apache APISIX Dashboard" 影响范围 Apache APISIX Dashboard < 2101 POC: IP:PORT/apisix/admin/migrate/export 修复建议升级至最新安全版本 Apache APISIX Dashboard 2101：githubcom/apache/apisix-dashboard/releases/ta

CVE-2021-45232-RCE-多线程批量漏洞检测

CVE-2021-45232-RCE CVE-2021-45232-RCE-多线程批量漏洞检测 FOFA 查询 title="Apache APISIX Dashboard" 影响范围 Apache APISIX Dashboard < 2101 POC: IP:PORT/apisix/admin/migrate/export 如有帮助，请大佬帮忙点个星星再走，谢谢！批量漏洞检测依赖问题自己解决，不懂百度。一�

CVE-2022-24112：Apache APISIX apisix/batch-requests RCE

CVE-2022-24112 CVE-2022-24112：Apache APISIX apisix/batch-requests RCE nuclei template ：CVE-2022-24112yaml 这个漏洞本质利用和 CVE-2021-45232 类似，都是绕过授权或未授权，来执行恶意的 route 里的 filter_func 或者 script 来执行命令注意是事项 X-Real-IP 的值可以是 127001,localhost 或者 2130706433 pipeline 是必须项，以�

CWE-306 https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5 http://www.openwall.com/lists/oss-security/2021/12/27/1 https://nvd.nist.gov https://github.com/Greetdawn/Apache-APISIX-dashboard-RCE https://github.com/yggcwhat/CVE-2021-45232

Get Started

CVE-2021-45232

Vulnerability Summary

Vulnerability Trend

Github Repositories

References

Vulmon Search

About

Products

Connect