在 Apache APISIX 2.12.1 之前的版本中(不包含 2.12.1 和 2.10.4),启用 Apache APISIX batch-requests
插件之后,会存在改写 X-REAL-IP header 风险。
该风险会导致以下两个问题:
攻击者通过 batch-requests
插件绕过 Apache APISIX 数据面的 IP 限制。如绕过 IP 黑白名单限制。
如果用户使用 Apache APISIX 默认配置(启用 Admin API ,使用默认 Admin Key 且没有额外分配管理端口),攻击者可以通过 batch-requests
插件调用 Admin API 。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作