手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

CVE-2020-11710:Kong API网关未经授权的漏洞警报

[日期:2020-04-17] 来源:Linux公社  作者:醉落红尘 [字体: ]

最近,Kong发布了有关Kong Admin Restful API Gateway未授权漏洞的风险通知。漏洞编号为CVE-2020-11710,并且漏洞级别很高。

Kong是一个云原生,快速,可扩展的分布式微服务抽象层(也称为API网关或API中间件)。它的核心价值是高性能和可扩展性,于2015年作为一个开源项目提供。

积极维护,Kong已广泛用于从初创公司到Global 5000的公司以及政府组织的生产中。

CVE-2020-11710:Kong API网关未经授权的漏洞警报

Kong API网关管理员控制界面具有未授权的访问漏洞。攻击者可以直接控制API网关,并通过Kong API网关管理员控制界面使其成为开放的流量代理,以访问内部敏感服务。

企业通常将Kong用作云原生架构的API网关,并且建立方式通常遵循官方准则。

默认情况下,Admin Restful API(端口:8001/8444)也公开给公共网络,从而使攻击者可以完全控制Kong网关的所有行为。攻击者可以执行的操作包括但不限于:

  • 添加到关键Intranet服务的路由
  • 将Kong设为代理节点以嗅探可访问的内部服务

受影响的版本

  • Kong 2.0.2及更低版本

我们建议用户及时安装最新的修补程序。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-04/162926.htm

linux
相关资讯       CVE-2020-11710  Kong API网关漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款