Yeni açıklanan bir güvenlik açığı olan CVE-2025-46647, yaygın olarak kullanılan bir açık kaynaklı API ağ geçidi olan Apache Apisix’in OpenID-Connect eklentisinde tanımlanmıştır.
Bu kusur, önemlisaldırganların belirli yanlış yapılandırmalar altında farklı kimlik ihraççıları arasında yetkisiz erişim elde etmesine izin verebilir.
Güvenlik açığı Junxu Chen tarafından 2 Temmuz 2025’te Apache Apisix geliştirme posta listesine bildirildi ve güvenlik araştırmacısı Tiernan Messmer’e yatırıldı.
| CVE kimliği | Ürün | Etkilenen sürümler | Sabit versiyon | Şiddet |
| CVE-2025-46647 | Apache Apisix | <3.12.0 | 3.12.0 | Önemli |
Teknik detaylar
Güvenlik açığı, içgözlem modunda OpenID-Connect eklentisini kullanırken ihraççının yanlış doğrulanmasından kaynaklanır.
Özellikle, eklenti, ihraççıyı, bazı çok indirimli ortamlarda kullanılabilen içgözlem keşif URL’sinden yeterince doğrulayamaz.
Bu güvenlik açığı yalnızca aşağıdaki tüm koşulları karşılayan dağıtımları etkiler:
- OpenID-Connect eklentisi etkinleştirilir ve içgözlem modunda yapılandırılır.
- Eklentiye bağlı kimlik doğrulama hizmeti birden çok ihraççıyı destekler.
- Bu ihraççılar aynı özel anahtarı paylaşır ve sadece farklılaşma için ihraççı değerine güvenir.
Bu koşullar yerine getirilirse, bir ihraççı için geçerli kimlik bilgilerine sahip bir saldırgan, potansiyel olarak jetonlarını başka bir ihraççı tarafından korunan kaynaklara erişmek için kullanabilir ve çapraz indirgeme sınırlarını etkili bir şekilde atlayabilir.
Kusur, özellikle çok kiracılı kurumsal ortamlar veya federasyonlu bulut mimarileri gibi birden fazla mantıksal alanda tek bir kimlik sağlayıcısı kullanan kuruluşlar içindir.
Bu gibi durumlarda, uygunsuz ihraççı doğrulaması, etkilenen sistemlerin güvenlik modelini baltalayarak hassas kaynaklara yetkisiz erişime yol açabilir.
Etkilenen sürümler
| Yazılım | Etkilenen sürümler | Sabit versiyon |
| Apache Apisix | <3.12.0 | 3.12.0 |
3.12.0’dan önce Apache Apisix sürümlerini çalıştıran tüm kullanıcıların 3.12.0 sürümüne veya üstüne yükseltmeleri şiddetle tavsiye edilir.
Apache Apisix ekibi, bu sürümdeki sorunu ele alarak OpenID-Connect eklentisinde düzenleyicinin doğru doğrulanmasını sağladı.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt