Marcin Niemiec

**Nome do software vulnerável e versões afetadas** Versões do Apache APISIX anteriores à 2.10.2 **Descrição** O problema está relacionado ao plugin uri-block do Apache APISIX, que utiliza a variável `$request uri` sem a devida verificação. Essa variável contém o URI completo da solicitação original sem normalização, possibilitando que um invasor construa um URI que contorne a lista de bloqueio. Por exemplo, se a lista de bloqueio incluir “^/internal/”, um invasor poderia usar um URI como “//internal/” para contorná-la. Esse problema também pode afetar outros plug-ins e plug-ins personalizados de desenvolvedores. **Recomendações** Para versões do Apache APISIX anteriores à 2.10.2, atualize para a versão 2.10.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin uri-block até que um patch seja aplicado. Além disso, os desenvolvedores devem revisar seus plugins personalizados em busca de problemas semelhantes relacionados ao uso da variável `$request uri`.