(CVE-2021-3019)(CVE-2021-37580)

Lanproxy路径遍历漏洞（CVE-2021-3019）

Lanproxy是一种把局域网个人计算机、服务器代理到公共网络上的内网穿透工具，支持 tcp流量转发，可以支持任何 tcp高层协议，可做访问内网网站、本地支付接口调试、 ssh访问、远程桌面等，而且自带wen在线管理面板，添加端口配置十分简单。现在市场上提供类似服务的有花生壳、TeamView、GoToMyCloud等，但是第三方的公共网络服务器必须为第三方支付费用，而且这些服务存在种种限制，此外，由于数据包将通过第三方网络传输，因此对数据安全是一大威胁。Lanproxy 路径遍历漏洞通过../绕过读取任意文件。该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。

Apache ShenYu Admin 身份验证绕过漏洞（CVE-2021-37580/CVE-2021-38570）

Apache ShenYu适用于所有微服务的可扩展、高性能、响应式 API 网关解决方案 用户无需身份验证即可访问 /plugin api。

使用新建的账号进行登录；此时登录界面会提示用户角色为配置权限错误，无法进入后台