CVE-2022-29266

其依赖的 lua-resty-jwt当中的错误逻辑允许将RS256令牌发送到需要HS256的端点,错误响应当中包含原始密钥值。 版本影响:<2.13.1 https://zone.huoxian.cn/d/1130-apache-apisix-jwt-cve-2022-29266 启用插件之后 ,默认会开启路由 :9080/apisix/plugin/jwt/sign image.png

这里没有设置 public接口也可以进行访问,那么 public-api接口的作用是什么?

http://192.168.137.8:9080/apisix/plugin/jwt/sign?key=user-key

https://apisix.apache.org/zh/docs/apisix/plugins/public-api/

Back to top