Apache ShenYu JWT认证缺陷漏洞(CVE-2021-37580)

Apache ShenYu
漏洞复现
发布日期:   2021-11-22
更新日期:   2021-12-06
文章字数:   183
阅读时长:   1 分
阅读次数:  

一、漏洞描述

什么是 Apache ShenYu?

Apache ShenYu 是一个异步的,高性能的,跨语言的,响应式的 API 网关

功能:

  • 支持各种语言(http 协议),支持 Dubbo、 Spring Cloud、 gRPC、 Motan、 Sofa、 Tars 等协议。

  • 插件化设计思想,插件热插拔,易扩展。

  • 灵活的流量筛选,能满足各种流量控制。

  • 内置丰富的插件支持,鉴权,限流,熔断,防火墙等等。

  • 流量配置动态化,性能极高。

  • 支持集群部署,支持 A/B Test,蓝绿发布。

二、影响范围

Apache ShenYu 2.3.0
Apache ShenYu 2.4.0

三、漏洞复现

docker pull apache/shenyu-admin:2.4.0
docker run -d  -p 9095:9095  apache/shenyu-admin:2.4.0

EXP:https://github.com/Liang2580/CVE-2021-37580/

文章作者: Taoing
文章链接: http://Ta0ing.github.io/article/c3105443.html
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Taoing !
Apache ShenYu
  目录