问题描述

jwt-auth 插件存在泄露用户秘钥的安全问题，因为从依赖库 lua-resty-jwt 返回的错误信息中包含敏感信息。

影响版本

Apache APISIX 2.13.0 及其之前全部版本

解决方案

1. 请立即升级至 Apache APISIX 2.13.1 及以上版本。

2. 如果不方便更新版本，请在 Apache APISIX 上安装对应版本的补丁包，实现重构，以绕过该漏洞（补丁包安装且生效后，调用方接收到的错误信息将为修复后的错误信息，不再包含敏感信息）。

以下补丁包适用于 LTS 2.13.x 或主版本：

• https://github.com/apache/apisix/pull/6846
• https://github.com/apache/apisix/pull/6847
• https://github.com/apache/apisix/pull/6858

以下补丁包适用于最新的 LTS 2.10.x 版本：

• https://github.com/apache/apisix/pull/6847
• https://github.com/apache/apisix/pull/6855

漏洞详情

漏洞优先级：紧急

漏洞公开时间：2022 年 4 月 20 日

CVE 详细信息：https://nvd.nist.gov/vuln/detail/CVE-2022-29266

贡献者简介

该漏洞由金蝶软件(中国)有限公司的唐忠远、谢鸿峰和陈兵发现并报告，感谢各位对 Apache APISIX 社区的贡献。