YAPI远程代码执行0 day漏洞

  • A+
所属分类:安全漏洞

0x00 漏洞概述

CVE     ID


时      间

2021-07-09

类      型

RCE

等      级

高危

远程利用

影响范围

  所有版本

攻击复杂度


可用性

用户交互


所需权限


PoC/EXP


在野利用

 

0x01漏洞详情

YAPI远程代码执行0 day漏洞


YAPI 是一个高效、易用、功能强大的API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。

2021年7月8日,YAPI被披露存在一个远程代码执行0 day漏洞。由于mock脚本自定义服务对JS脚本过滤不严,导致用户可以添加请求处理脚本,并在脚本中植入恶意命令,最终造成远程命令执行。目前该漏洞已被僵尸网络和木马大规模利用。

 

0x02处置建议

目前此漏洞暂无补丁。建议等待官方发布补丁,并应用以下缓解措施:

  • 关闭YAPI用户注册功能;

  • 删除已注册的恶意账户;

  • 删除恶意mock脚本;

  • 回滚服务器快照。

下载链接:

https://github.com/YMFE/yapi

 

0x03参考链接

https://github.com/YMFE/yapi/issues/2229

https://github.com/YMFE/yapi

https://s.tencent.com/research/report/76

 

0x04时间线

2021-07-08  漏洞披露

2021-07-09  VSRC发布安全通告

0x05附录

CVSS评分标准官网:http://www.first.org/cvss/



本文始发于微信公众号(维他命安全):YAPI远程代码执行0 day漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: