Apache ShenYu服务器端请求伪造漏洞
Apache ShenYu是美国阿帕奇(Apache)基金会的一个异步的,高性能的,跨语言的,响应式的API网关。
一、漏洞分析
公开日期:2024-06-17
漏洞编号:CNVD-2024-27497/CVE-2023-25753
危害等级:高危
漏洞描述:Apache ShenYu 2.5.1版本存在服务器端请求伪造漏洞,该漏洞源于sandbox/proxyGateway端点未能正确验证用户输入,攻击者可利用该漏洞通过在requestUrl参数中输入任何URL来操纵任意请求并检索相应的响应。
二、漏洞影响产品
Apache Apache ShenYu 2.5.1
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://lists.apache.org/thread/chprswxvb22z35vnoxv9tt3zknsm977d
