YApi高危漏洞风险提示

  • A+
所属分类:安全漏洞
YApi高危漏洞风险提示


漏洞公告

近日,安恒应急响应中心监测到YApi平台存在高危漏洞,攻击者可利用该漏洞在目标服务器上执行任意代码,可导致服务器被攻击者控制。

根据官方Github issue显示,多位用户反馈使用该平台后服务器被黑客入侵植入木马,详细参见:

https://github.com/YMFE/yapi/issues/2229



影响范围

已知受影响版本:YApi v1.9.2


通过安恒 SUMAP 平台对全球部署的YApi平台进行统计,最新查询分布情况如下:

    全球分布:

YApi高危漏洞风险提示

    国内分布:

YApi高危漏洞风险提示

安恒应急响应中心已验证该漏洞的可利用性:

YApi高危漏洞风险提示



漏洞描述


YApi是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台,根据分析,默认安装的YApi平台未限制注册功能,攻击者可注册平台帐号,通过后台创建自定义的MOCK脚本,实现在目标服务器上执行任意代码。


缓解措施


高危:目前漏洞细节和利用代码已经公开,建议部署了存在漏洞版本的用户及时做好加固防护。


处置:

    1、禁用YApi用户注册功能:可通过配置yapi项目目录下config.json文件禁用该平台的用户注册功能

YApi高危漏洞风险提示

配置后需要重启服务

    2、排查YApi平台是否存在弱口令或默认口令账户并进行加固。

    3、配置访问控制策略,避免YApi暴露在公网


安恒应急响应中心

2021年07月





本文始发于微信公众号(安恒信息应急响应中心):YApi高危漏洞风险提示

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: