Vulnerabilidad de ejecución remota de código en Apache APISIX (CVE-2022-24112)

ANÁLISIS

Después de habilitar el plugin Apache APISIX batch-requests, un atacante puede saltarse las restricciones de IP en el plano de datos de Apache APISIX (como saltarse las restricciones de listas negras y listas blancas de IP) a través del plugin batch-requests. Si el usuario utiliza la configuración por defecto de Apache APISIX (con la API Admin habilitada, con la API Key por defecto y sin puerto de admin adicional asignado), un atacante puede invocar la API Admin a través del plugin batch-requests, lo que resulta en la ejecución remota de código [2].

Versiones afectadas:

• Apache APISIX 1.3 - 2.12.1
• Apache APISIX 2.10.0 - 2.10.4 LTS

Versiones no afectadas:

• Apache APISIX 2.12.1 (excepto la 2.12.1)
• Apache APISIX 2.10.4 (versiones LTS) (excluyendo la 2.10.4)

RECOMENDACIONES

Para solucionar la vulnerabilidad, se recomienda a los usuarios realizar una de las siguientes acciones [3]:

• Configurar explícitamente los plugins habilitados en `conf/config.yaml`, asegurándose de que `batch-requests` está deshabilitado.  (O simplemente comentar `batch-requests` en `conf/config-default.yaml`)
• Actualice a la versión 2.10.4 o 2.12.1.

REFERENCIAS

[1] CVE-2022-24112: Apache APISIX: apisix/batch-requests plugin allows overwriting the X-REAL-IP header-Apache Mail Archives 
[2] CVE-2022-24112: Apache APISIX Remote Code Execution Vulnerability Alert (securityonline.info) 
[3] oss-security - CVE-2022-24112: Apache APISIX: apisix/batch-requests plugin allows overwriting the X-REAL-IP header (openwall.com)