一、漏洞简介¶
1.1 漏洞背景¶
Kong Gateway 的默认配置设计目的是方便快速部署和测试,但这可能导致生产环境中存在安全风险。许多安全相关的配置默认值可能不适合生产环境,需要用户手动调整。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | 暂无统一编号 |
| 危害等级 | 暂未找到权威信息 |
| 漏洞类型 | Kong 默认配置安全问题 |
| 披露时间 | 暂未找到权威信息 |
| 影响组件 | Kong Gateway |
| 属性 | 值 |
|---|---|
| CVE 编号 | N/A(配置问题) |
| 危害等级 | 中危 - 高危 |
| 漏洞类型 | 配置错误 / 安全基线不符合 |
核验说明:该问题未见统一 CVE 编号,本文结合原文与公开资料进行整理。
二、影响范围¶
2.1 受影响的版本¶
- 所有使用默认配置的 Kong Gateway 版本
2.2 常见默认配置问题¶
| 配置项 | 默认值 | 安全风险 |
|---|---|---|
admin_listen |
127.0.0.1:8001 |
容器环境可能被意外暴露 |
anonymous_reports |
on |
可能泄露使用信息 |
ssl_cipher_suite |
modern |
某些旧客户端兼容问题 |
client_ssl |
off |
上游通信未加密 |
error_default_type |
text/plain |
可能泄露错误信息 |
2.2 不受影响的版本¶
- 暂未找到权威信息,建议以厂商安全公告、修复提交记录或发布说明为准。
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
- 需要存在可被远程或本地触达的相关接口、服务、插件或默认配置条件;原文与公开资料未给出更精确的统一触发条件。
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
1. 默认端口暴露:
# 默认配置
proxy_listen = 0.0.0.0:8000, 0.0.0.0:8443 ssl
admin_listen = 127.0.0.1:8001, 127.0.0.1:8444 ssl
在容器环境中,如果直接映射端口:
docker run -p 8000:8000 -p 8001:8001 kong
Admin API 将被暴露到公网。
2. 默认未启用认证:
Kong 开源版默认不包含 Admin API 认证功能,需要用户自行实现。
3. 日志默认配置:
# 默认日志级别
log_level = notice
可能包含敏感信息的日志。
3.2 源码层面的根因分析(结合源码与补丁对比)¶
-- kong/conf_loader/init.lua (简化)
local default_config = {
admin_listen = "127.0.0.1:8001",
proxy_listen = "0.0.0.0:8000, 0.0.0.0:8443 ssl",
-- 默认不启用认证
admin_ssl_enabled = true,
-- 默认日志级别
log_level = "notice",
}
四、漏洞复现(可选)¶
4.1 环境搭建¶
# 使用默认配置启动 Kong
docker run -d --name kong-default \
-e "KONG_DATABASE=off" \
-p 8000:8000 \
-p 8001:8001 \
-p 8443:8443 \
kong:latest
4.2 PoC 演示与测试过程¶
**1. 检
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
- 暂未找到权威信息,建议以厂商安全公告、修复提交记录或发布说明为准。
5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)¶
- 在完成版本升级前,建议将相关服务限制在可信网络边界内,并最小化暴露面。
- 对高风险接口、插件或调试功能实施临时下线、访问控制与日志监控。
六、参考信息 / 参考链接¶
6.1 官方安全通告¶
- 暂未找到可直接引用的官方安全通告,请优先关注项目安全公告、发布说明与修复分支。
6.2 其他技术参考资料¶
- 暂未补充其他公开参考链接。