Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache APISIX (CVE-2025-46647)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2025
Última modificación:
03/07/2025

Descripción

Una vulnerabilidad del complemento openid-connect en Apache APISIX. Esta vulnerabilidad solo tendrá impacto si se cumplen todas las siguientes condiciones: 1. Usar el complemento openid-connect con modo de introspección. 2. El servicio de autenticación conectado a openid-connect presta servicios a múltiples emisores. 3. Varios emisores comparten la misma clave privada y dependen únicamente de que el emisor sea diferente. Si se ve afectado por esta vulnerabilidad, un atacante con una cuenta válida en uno de los emisores podría iniciar sesión en el otro. Este problema afecta a Apache APISIX hasta la versión 3.12.0. Se recomienda a los usuarios actualizar a la versión 3.12.0 o superior.

Referencias a soluciones, herramientas e información