首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-11710| Kong Admin Rest API未授权会见误差通告

宣布时间 2020-04-16

0x00 误差概述

CVE ID	CVE-2020-11710	时间	2020-04-16
类型	UA	等级	严重
远程使用	是	影响规模	Kong <= 2.0.3

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

docker-kong是一款使用在Docker应用容器引擎中的API3网关产品。。。。。Kong API网关是现在最受接待的云原生API网关之一，，，，，，，通过插件的形式提供负载平衡等多重功效。。。。。

Kong API网关在默认Docker安排的情形下保存未授权会见误差，，，，，，，CVSS评分9.8。。。。。在使用Docker容器的方法搭建Kong API网关时，，，，，，，默认设置会将未经鉴权的Admin Rest API袒露在公网，，，，，，，导致攻击者可以未授权会见Admin Rest API，，，，，，，进一步控制Kong API网关。。。。。

0x02 处置惩罚建议

升级补丁，，，，，，，下载链接：

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

暂时步伐：

? 将Kong Admin API默认监听端口（默认8001和8444）设为榨取对公网开放，，，，，，，或仅对可信工具开放；；；；；；

? 修改 docker-compose.yaml 中的内容将端口映射限制为 127.0.0.1。。。。。

0x03 相关新闻

https://www.tenable.com/cve/CVE-2020-11710

0x04 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2020-11710

https://github.com/Kong/kong

0x05 时间线

2020-03-31 Kong修复该误差

2020-04-12 CVE 宣布该误差

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-11710| Kong Admin Rest API未授权会见误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线