11710:Kong API网关未经授权的裂痕警报

最近,Kong宣布了有关Kong Admin Restful API Gateway未授权裂痕的风险通知。裂痕编号为CVE-2020-11710,而且裂痕级别很高。

Kong是一个云原生,快速,可扩展的漫衍式微处事抽象层(也称为API网关或API中间件)。它的焦点代价是高机能和可扩展性,于2015年作为一个开源项目提供。

努力维护,Kong已遍及用于从初创公司到Global 5000的公司以及当局组织的出产中。

CVE-2020-11710:Kong API网关未经授权的裂痕警报

Kong API网关打点员节制界面具有未授权的会见裂痕。进攻者可以直接节制API网关,并通过Kong API网关打点员节制界面使其成为开放的流量署理,以会见内部敏感处事。

企业凡是将Kong用作云原生架构的API网关,而且成立方法凡是遵循官方准则。

默认环境下,Admin Restful API(端口:8001/8444)也果真给民众网络,从而使进攻者可以完全节制Kong网关的所有行为。进攻者可以执行的操纵包罗但不限于:

添加到要害Intranet处事的路由

将Kong设为署理节点以嗅探可会见的内部处事

受影响的版本

Kong 2.0.2及更低版本

我们发起用户实时安装最新的修补措施。

Linux公社的RSS地点https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wsdxgy.html