CRITICAL🇬🇧 English

CVE-2026-31908

Header injection w pluginie forward-auth Apache APISIX

CVSS 9.1v3.1pub. 2026-04-14upd. 2026-04-17

Podatność typu header injection w Apache APISIX pozwala nieuwierzytelnionemu atakującemu na wstrzykiwanie złośliwych nagłówków HTTP poprzez odpowiednią konfigurację pluginu forward-auth. Uzyskanie kontroli nad nagłówkami żądań może prowadzić do naruszenia poufności i integralności przetwarzanych danych.

Pokaż oryginał (EN)

Header injection vulnerability in Apache APISIX. The attacker can take advantage of certain configuration in forward-auth plugin to inject malicious headers. This issue affects Apache APISIX: from 2.12.0 through 3.15.0. Users are recommended to upgrade to version 3.16.0, which fixes the issue.

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje określoną konfigurację pluginu forward-auth w Apache APISIX, aby wstrzyknąć złośliwe nagłówki HTTP do przesyłanych żądań. Plugin forward-auth odpowiada za delegowanie autoryzacji do zewnętrznych serwisów — manipulacja nagłówkami w tym etapie może pozwolić na obejście mechanizmów uwierzytelniania lub podmianę danych przekazywanych do backendu. Podatność jest sklasyfikowana jako CWE-75 (nieodpowiednia neutralizacja znaków specjalnych w nagłówkach HTTP), co wskazuje na brak właściwej sanityzacji danych wejściowych.

Skutki

Atakujący może naruszyć poufność i integralność przetwarzanych żądań poprzez wstrzykiwanie arbitralnych nagłówków HTTP, co może prowadzić do obejścia mechanizmów autoryzacji lub manipulacji danymi przesyłanymi do chronionych serwisów backendowych.

Mitygacja

Należy zaktualizować Apache APISIX do wersji 3.16.0, która zawiera poprawkę eliminującą opisaną podatność. Szczegółowe informacje dostępne są w oficjalnym ogłoszeniu projektu Apache pod adresem wskazanym w referencjach.

Kogo dotyczy

Apache APISIX w wersjach od 2.12.0 do 3.15.0 włącznie, korzystające z pluginu forward-auth.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Apache Apisix

    APP
    Apache
    2.12.0 – 3.16.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-24112CRITICAL9.8⚠ KEVten sam produkt

An attacker can abuse the batch-requests plugin to send requests to bypass the IP restriction of Admin API. A ...

CVE-2022-25757CRITICAL9.8ten sam produkt

In Apache APISIX before 2.13.0, when decoding JSON with duplicate keys, lua-cjson will choose the last occurre...

CVE-2026-39999HIGH7.0ten sam produkt

Authentication Bypass by Spoofing vulnerability in Apache APISIX. The attacker can completely bypass authenti...

CVE-2026-31923HIGH7.5ten sam produkt

Cleartext Transmission of Sensitive Information vulnerability in Apache APISIX. This can occur due to `ssl_ve...

CVE-2025-62232HIGH7.5ten sam produkt

Sensitive data exposure via logging in basic-auth leads to plaintext usernames and passwords written to error ...