ASP站长网最近,Kong发布了有关Kong Admin Restful API Gateway未授权漏洞的风险通知。漏洞编号为CVE-2020-11710,并且漏洞级别很高。
Kong是一个云原生,快速,可扩展的分布式微服务抽象层(也称为API网关或API中间件)。它的核心价值是高性能和可扩展性,于2015年作为一个开源项目提供。
积极维护,Kong已广泛用于从初创公司到Global 5000的公司以及政府组织的生产中。
CVE-2020-11710:Kong API网关未经授权的漏洞警报
Kong API网关管理员控制界面具有未授权的访问漏洞。攻击者可以直接控制API网关,并通过Kong API网关管理员控制界面使其成为开放的流量代理,以访问内部敏感服务。
企业通常将Kong用作云原生架构的API网关,并且建立方式通常遵循官方准则。
默认情况下,Admin Restful API(端口:8001/8444)也公开给公共网络,从而使攻击者可以完全控制Kong网关的所有行为。攻击者可以执行的操作包括但不限于:
添加到关键Intranet服务的路由
将Kong设为代理节点以嗅探可访问的内部服务
受影响的版本
Kong 2.0.2及更低版本
我们建议用户及时安装最新的修补程序。
由 dawei
【声明】:九江站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。