CVE-2021-43557

Versões do Apache APISIX anteriores à 2.10.2

O problema está relacionado ao plugin uri-block do Apache APISIX, que utiliza a variável $request uri sem a devida verificação. Essa variável contém o URI completo da solicitação original sem normalização, possibilitando que um invasor construa um URI que contorne a lista de bloqueio. Por exemplo, se a lista de bloqueio incluir “^/internal/”, um invasor poderia usar um URI como “//internal/” para contorná-la. Esse problema também pode afetar outros plug-ins e plug-ins personalizados de desenvolvedores.

Para versões do Apache APISIX anteriores à 2.10.2, atualize para a versão 2.10.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao plugin uri-block até que um patch seja aplicado. Além disso, os desenvolvedores devem revisar seus plugins personalizados em busca de problemas semelhantes relacionados ao uso da variável $request uri.