YAPI远程代码执行0 day漏洞

admin 2021年11月13日13:20:09安全漏洞评论130 views619字阅读2分3秒阅读模式

0x00 漏洞概述

CVE     ID


时      间

2021-07-09

类      型

RCE

等      级

高危

远程利用

影响范围

  所有版本

攻击复杂度


可用性

用户交互


所需权限


PoC/EXP


在野利用

 

0x01漏洞详情

YAPI远程代码执行0 day漏洞


YAPI 是一个高效、易用、功能强大的API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。

2021年7月8日,YAPI被披露存在一个远程代码执行0 day漏洞。由于mock脚本自定义服务对JS脚本过滤不严,导致用户可以添加请求处理脚本,并在脚本中植入恶意命令,最终造成远程命令执行。目前该漏洞已被僵尸网络和木马大规模利用。

 

0x02处置建议

目前此漏洞暂无补丁。建议等待官方发布补丁,并应用以下缓解措施:

  • 关闭YAPI用户注册功能;

  • 删除已注册的恶意账户;

  • 删除恶意mock脚本;

  • 回滚服务器快照。

下载链接:

https://github.com/YMFE/yapi

 

0x03参考链接

https://github.com/YMFE/yapi/issues/2229

https://github.com/YMFE/yapi

https://s.tencent.com/research/report/76

 

0x04时间线

2021-07-08  漏洞披露

2021-07-09  VSRC发布安全通告

0x05附录

CVSS评分标准官网:http://www.first.org/cvss/



本文始发于微信公众号(维他命安全):YAPI远程代码执行0 day漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月13日13:20:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  YAPI远程代码执行0 day漏洞 http://cn-sec.com/archives/417107.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: