一、概要

近日，华为云关注到Apache APISIX官方发布安全公告，披露Apache APISIX的Admin API默认Token存在安全风险（CVE-2020-13945）。Apache APISIX 是一个动态、实时、高性能的 API 网关，如果用户使用默认Token并允许任何IP访问Admin API，则攻击者可利用默认Token访问到APISIX，进而执行恶意操作。

华为云提醒使用APISIX的用户尽快安排自检并做好安全加固。

参考链接：

https://github.com/apache/apisix/pull/2244

二、威胁级别

威胁级别：【重要】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

APISIX 1.2, 1.3, 1.4, 1.5

安全版本：

APISIX 2.0

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。

https://apisix.apache.org/downloads/

无法及时升级的用户可参考以下规避措施来降低风险：

1、修改Apache APISIX配置文件中 conf/config.yaml 的admin_key，禁止使用默认Token

2、若可以，建议关闭Apache APISIX Admin API功能，或者增加IP访问限制。

注：修复漏洞前请将资料备份，并进行充分测试。