尊敬的用戶，您好！

近日，安全運(yùn)營(yíng)中心監(jiān)測(cè)到，Apisix-dashboard披露了多個(gè)高危漏洞。攻擊者可利用這些漏洞導(dǎo)致拒絕服務(wù)等危害。

為避免您的業(yè)務(wù)受影響，棉花云建議您及時(shí)開(kāi)展安全自查，如在受影響范圍，請(qǐng)您及時(shí)進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

CVE-2021-3121（高危）

是在1.3.2之前的GoGo Protobuf中發(fā)現(xiàn)的一個(gè)問(wèn)題。該問(wèn)題是由 plugin / unmarshal / unmarshal.go缺少某些索引驗(yàn)證導(dǎo)致

CVE-2020-35380（高危）

1.6.4之前的GJSON允許攻擊者通過(guò)精心制作的JSON導(dǎo)致拒絕服務(wù)

CVE-2020-36066（高危）

GJSON <1.6.5允許攻擊者通過(guò)精心制作的JSON導(dǎo)致遠(yuǎn)程拒絕服務(wù)。

CVE-2020-36067（高危）

GJSON <= v1.6.5允許攻擊者通過(guò)精心設(shè)計(jì)的GET調(diào)用導(dǎo)致拒絕服務(wù)。

CVE-2020-15168（中危）

在進(jìn)行重定向后，版本2.6.1和3.0.0-beta.9之前的node-fetch不支持size選項(xiàng)，這意味著當(dāng)內(nèi)容大小超出限制時(shí)，將永遠(yuǎn)不會(huì)因?yàn)镕etchError的失敗導(dǎo)致該過(guò)程結(jié)束。

CVE-2020-7760（中危）

該漏洞會(huì)影響5.58.2之前的程序包c(diǎn)odemirror。 可由特殊構(gòu)造的正則表達(dá)式造成ReDOS

風(fēng)險(xiǎn)等級(jí)

高

漏洞風(fēng)險(xiǎn)

攻擊者可利用該漏洞，導(dǎo)致拒絕服務(wù)等危害

影響版本

CVE-2021-3121：protobuf < v1.3.2

CVE-2020-35380 、CVE-2020-36066、CVE-2020-36067：GJSON <= v1.6.5

CVE-2020-15168：node-fetch < 2.0.0-alpha.9

CVE-2020-7760：codemirror =< 5.57.0

安全版本

CVE-2021-3121：protobuf 升級(jí)到v1.3.2及以上

CVE-2020-35380 、CVE-2020-36066、CVE-2020-36067：GJSON 升級(jí)到v1.6.7及以上

CVE-2020-15168：node-fetch升級(jí)到2.0.0-alpha.9及以上

CVE-2020-7760：codemirror 升級(jí)到5.59.1及以上

修復(fù)建議

官方已發(fā)布安全版本，棉花云安全建議您盡快升級(jí)到最新版本，避免相關(guān)安全風(fēng)險(xiǎn)。

【備注】：建議您在升級(jí)前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外

漏洞參考

https://github.com/apache/apisix-dashboard/issues/1352 

https://github.com/apache/apisix-dashboard/issues/1353 

https://github.com/apache/apisix-dashboard/issues/1354 

https://github.com/apache/apisix-dashboard/issues/1356 

棉花云運(yùn)營(yíng)部