Apache APISIX Admin API 默认Token漏洞（CVE-2020-13945）

　　2020年12月8日，Apache APISIX 官方披露APISIX Admin API 默认Token漏洞(CVE-2020-13945)。

　　漏洞描述

　　Apache APISIX 是一个动态、实时、高性能的 API 网关，基于 Nginx 网络库和 etcd 实现， 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。当使用者开启了Admin API，没有配置相应的IP访问策略，且没有修改配置文件Token的情况下，则攻击者利用Apache APISIX的默认Token即可访问Apache APISIX，从而控制APISIX网关。

　　影响版本

　　Apache APISIX 1.2

　　Apache APISIX 1.3

　　Apache APISIX 1.4

　　Apache APISIX 1.5

　　安全建议

　　1. 修改Apache APISIX配置文件中 conf/config.yaml 的admin_key，禁止使用默认Token

　　2. 若非必要，关闭Apache APISIX Admin API功能，或者增加IP访问限制。

　　3. 升级Apache APISIX 至最新版本。

　　相关链接

　　1. https://seclists.org/oss-sec/2020/q4/187

　　2. https://github.com/apache/apisix/pull/2244