Apache APISIX 是一款高性能、支持 AI 应用的 API 网关,广泛用于微服务与大模型场景中的流量管理。近日,该项目在 OpenID Connect 插件中被发现存在令牌签发方验证缺陷,漏洞编号为 CVE-2025-46647,官方评级为“重要”(Important),在特定配置下可能被用于实现跨 Issuer 的非授权访问。
官方通告指出:
“Apache APISIX 的 openid-connect 插件存在漏洞,攻击者若拥有某一 Issuer 的合法账号,可用于登录另一个 Issuer 的系统。”
该漏洞仅在满足以下全部条件的部署中才会生效:
-
使用
openid-connect
插件,且配置为 introspection 模式; -
插件连接的认证服务支持 多个 Issuer;
-
这些 Issuer 共享相同的私钥,系统仅依赖 Issuer 字段来区分不同身份提供方。
在这种配置下,若系统未正确验证 token 中的 Issuer 字段,攻击者就可能使用一个 Issuer 签发的有效 token 去访问另一个 Issuer 的受保护资源,造成认证绕过。
该漏洞影响 Apache APISIX 3.12.0 之前的所有版本。问题源于插件在通过 introspection 发现 URL 获取 token 时,未对 Issuer 字段进行充分校验。
此漏洞在使用 同一身份提供方跨多个逻辑域 的场景中尤为危险,例如多租户企业环境或联合云架构下,若未实施严格隔离,攻击者可能在一个租户中取得 token 后越权访问另一个租户的数据资源。
通告再次强调:“此漏洞仅在满足所有上述条件时才会带来实际影响。”
Apache APISIX 官方已在 3.12.0 版本中修复该问题,强烈建议所有用户尽快升级至 3.12.0 或更高版本,以降低风险。
发表评论
您还未登录,请先登录。
登录