Apache APISIX 存在 OpenID Connect 身份验证绕过漏洞(CVE-2025-46647):可跨 Issuer 非授权访问

阅读量10161

发布时间 : 2025-07-04 15:05:42

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源:securityonline

原文地址:https://securityonline.info/apache-apisix-flaw-cve-2025-46647-token-issuer-bypass-in-openid-connect-allows-cross-issuer-access/

译文仅供参考,具体内容表达以及含义原文为准。

Apache APISIX 是一款高性能、支持 AI 应用的 API 网关,广泛用于微服务与大模型场景中的流量管理。近日,该项目在 OpenID Connect 插件中被发现存在令牌签发方验证缺陷,漏洞编号为 CVE-2025-46647,官方评级为“重要”(Important),在特定配置下可能被用于实现跨 Issuer 的非授权访问

官方通告指出:

“Apache APISIX 的 openid-connect 插件存在漏洞,攻击者若拥有某一 Issuer 的合法账号,可用于登录另一个 Issuer 的系统。”

该漏洞仅在满足以下全部条件的部署中才会生效:

  • 使用 openid-connect 插件,且配置为 introspection 模式

  • 插件连接的认证服务支持 多个 Issuer

  • 这些 Issuer 共享相同的私钥,系统仅依赖 Issuer 字段来区分不同身份提供方。

在这种配置下,若系统未正确验证 token 中的 Issuer 字段,攻击者就可能使用一个 Issuer 签发的有效 token 去访问另一个 Issuer 的受保护资源,造成认证绕过。

该漏洞影响 Apache APISIX 3.12.0 之前的所有版本。问题源于插件在通过 introspection 发现 URL 获取 token 时,未对 Issuer 字段进行充分校验。

此漏洞在使用 同一身份提供方跨多个逻辑域 的场景中尤为危险,例如多租户企业环境或联合云架构下,若未实施严格隔离,攻击者可能在一个租户中取得 token 后越权访问另一个租户的数据资源。

通告再次强调:“此漏洞仅在满足所有上述条件时才会带来实际影响。”

Apache APISIX 官方已在 3.12.0 版本中修复该问题,强烈建议所有用户尽快升级至 3.12.0 或更高版本,以降低风险。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

安全客

这个人太懒了,签名都懒得写一个

  • 文章
  • 142
  • 粉丝
  • 1

热门推荐

文章目录
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66