【漏洞详情】

Kong API 网关被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件，为云原生应用提供鉴权、转发、负载均衡、监控等能力， 2.0.3 及之前版本的Kong API网关在默认情况下存在高危安全漏洞(CVE-2020-11710)，通过此漏洞，远程攻击者可在未授权情况下访问Admin Rest API，从而控制Kong API网关。

【风险评级】

高危

【影响范围】

Kong <= 2.0.3

【修复建议】

建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险：

将Kong Admin Rest API 默认监听端口（默认8001 和 8444）设置为禁止对公网开放，或仅对可信对象开放

【参考链接】

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

https://nvd.nist.gov/vuln/detail/CVE-2020-11710

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年4月17日