Apache APISIX 敏感信息明文传输CVE-2026-31924

Apache APISIX 是由Apache软件基金会顶级开源项目，基于 NGINX + OpenResty + LuaJIT 构建的云原生、高性能、全动态 API 网关。

一、基本情况

Apache APISIX 是云原生时代下一代 API 网关标准，以动态、高性能、插件化、全协议、AI 友好为核心，免费、社区活跃、长期支持。

Apache APISIX 由深圳支流科技（API Seven）创始贡献，用于微服务流量治理、API安全、云原生入口、AI网关、K8s Ingress等场景。

栋科技漏洞库关注到 Apache APISIX 在 2.99.0 至 3.15.0 版本的敏感信息明文传输漏洞，追踪为CVE-2026-31924，CVSS 3.X评分5.3。

二、漏洞分析

CVE-2026-31924是 Apache APISIX 相关中的敏感信息明文传输漏洞，该安全问题会影响 Apache APISIX 2.99.0 至 3.15.0（含）版本。

该漏洞源于相关版本tencent-cloud-cls日志导出插件在向腾讯云日志服务（CLS）传输数据时，错误地使用了不加密的明文 HTTP 协议。

攻击者若处于日志传输的网络路径中，可通过中间人攻击（MITM）截获导出的日志内容泄露 API 请求中含的敏感业务数据或认证凭据。

三、影响范围

2.99.0 <= Apache APISIX <=3.15.0 

四、修复建议

 Apache APISIX >= 3.16.0

五、参考链接

管理员已设置登录后刷新可查看