YAPI开源接口管理平台远程代码执行零日漏洞预警

  • A+
所属分类:安全漏洞




一、漏洞情况

近日,互联网披露了YAPI远程代码执行0day漏洞,该漏洞已在野利用,并正在扩散。攻击者可利用该漏洞实现远程代码执行。建议用户通过临时防护措施缓解该漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。

该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。

四、影响范围

目前为0day状态,官方暂未发布补丁,影响所有版本

五、安全建议

目前该漏洞暂无补丁,建议受影响的用户参考以下临时缓解措施:

1. 部署防火墙实时拦截威胁;

2. 关闭YAPI用户注册功能,阻断攻击者注册;

3. 禁止YAPI所在服务器从外部网络访问;

4. 排查YAPI服务器是否存在恶意访问记录;

5. 删除恶意mock脚本,防止再被访问触发;

6. 服务器回滚快照。

六、参考链接

1. https://github.com/YMFE/yapi/issues/2229

2. https://github.com/YMFE/yapi/issues/2233


支持单位:

腾讯云计算(北京)有限责任公司

北京奇虎科技有限公司





文章来源:网络安全威胁和漏洞信息共享平台


点击下方卡片关注我们,
带你一起读懂网络安全 ↓


本文始发于微信公众号(互联网安全内参):YAPI开源接口管理平台远程代码执行零日漏洞预警

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: