apisix/batch-requests plugin allows overwriting the X-REAL-IP header

Un defecto en el plugin batch-requests de Apache APISIX permite que atacantes eludan las restricciones de IP y ejecuten código en el servidor. Al manipular solicitudes, un atacante puede suplantar una dirección IP confiable y obtener acceso no autorizado a la API de Administración.

El plugin batch-requests intenta validar direcciones IP del cliente sobrescribiéndolas con la IP remota real; sin embargo, un error lógico en esta validación permite que atacantes eviten la verificación mediante solicitudes en lote. Esto habilita acceso no autorizado a la Admin API y, con credenciales predeterminadas, puede resultar en ejecución remota de código. Requiere acceso de red a la instancia APISIX.