首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-11710| Kong Admin Rest API未授權訪問漏洞通告

發布時間 2020-04-16

0x00 漏洞概述


CVE   ID

CVE-2020-11710

   

2020-04-16

   

UA

   

嚴重

遠程利用

影響范圍

Kong <= 2.0.3


0x01 漏洞詳情




docker-kong是一款使用在Docker應用容器引擎中的API3網關產品。Kong API網關是目前最受歡迎的云原生API網關之一,通過插件的形式提供負載均衡等多重功能。


Kong API網關在默認Docker部署的情況下存在未授權訪問漏洞,CVSS評分9.8。在使用Docker容器的方式搭建Kong API網關時,默認配置會將未經鑒權的Admin Rest API暴露在公網,導致攻擊者可以未授權訪問Admin Rest API,進一步控制Kong API網關。


0x02 處置建議


升級補丁,下載鏈接:

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

臨時措施:

? 將Kong Admin API默認監聽端口(默認8001和8444)設為禁止對公網開放,或僅對可信對象開放;

? 修改 docker-compose.yaml 中的內容將端口映射限制為 127.0.0.1。


0x03 相關新聞


https://www.tenable.com/cve/CVE-2020-11710


0x04 參考鏈接


https://nvd.nist.gov/vuln/detail/CVE-2020-11710

https://github.com/Kong/kong


0x05 時間線


2020-03-31 Kong修復該漏洞

2020-04-12 CVE 發布該漏洞





上一篇 下一篇