首頁 > 安全研究 > 安全通報 > 安全通告

YAPI遠程代碼執行0 day漏洞

發布時間 2021-07-09

0x00 漏洞概述

CVE     ID


時       間

2021-07-09

類       型

RCE

等      級

高危

遠程利用

影響范圍

  所有版本

攻擊復雜度


可用性

用戶交互


所需權限


PoC/EXP


在野利用

 

0x01 漏洞詳情

image.png


YAPI 是一個高效、易用、功能強大的API管理平臺,旨在為開發、產品、測試人員提供更優雅的接口管理服務。

2021年7月8日,YAPI被披露存在一個遠程代碼執行0 day漏洞。由于mock腳本自定義服務對JS腳本過濾不嚴,導致用戶可以添加請求處理腳本,并在腳本中植入惡意命令,最終造成遠程命令執行。目前該漏洞已被僵尸網絡和木馬大規模利用。

 

0x02 處置建議

目前此漏洞暫無補丁。建議等待官方發布補丁,并應用以下緩解措施:

l  關閉YAPI用戶注冊功能;

l  刪除已注冊的惡意賬戶;

l  刪除惡意mock腳本;

l  回滾服務器快照。

下載鏈接:

https://github.com/YMFE/yapi

 

0x03 參考鏈接

https://github.com/YMFE/yapi/issues/2229

https://github.com/YMFE/yapi

https://s.tencent.com/research/report/76

 

0x04 時間線

2021-07-08  漏洞披露

2021-07-09  VSRC發布安全通告

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇