Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Apache APISIX (CVE-2022-25757)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
28/03/2022
Última modificación:
04/04/2022

Descripción

En Apache APISIX versiones anteriores a 2.13.0, cuando es decodificado JSON con claves duplicadas, lua-cjson elegirá como resultado el último valor ocurrido. Al pasar un JSON con una clave duplicada, el atacante puede omitir la comprobación body_schema en el plugin de comprobación de peticiones. Por ejemplo, "{"string_payload": "bad", "string_payload": "good"}" puede usarse para ocultar la entrada "bad". Los sistemas que cumplen las tres condiciones siguientes están afectados por este ataque: 1. usar la comprobación body_schema en el plugin de comprobación de peticiones 2. la aplicación upstream usa una librería JSON especial que elige el primer valor ocurrido, como jsoniter o gojay 3. la aplicación upstream ya no comprueba la entrada. La solución en APISIX es recodificar la entrada JSON comprobada en el cuerpo de la petición en el lado de APISIX. Una vulnerabilidad de comprobación de entrada inapropiada en __COMPONENT__ de Apache APISIX permite a un atacante __IMPACT__. Este problema afecta a Apache APISIX versiones 2.12.1 y anteriores

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:apisix:*:*:*:*:*:*:*:* 2.13.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información