速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)

admin 2023年1月23日22:38:29安全新闻评论11 views974字阅读3分14秒阅读模式


经“X漏洞奖励计划”,微步获取到一个YApi高危漏洞信息,无需点击(0-click),无任何权限要求,即可利用。YApi在GitHub上获得超过25000颗星,包括阿里、腾讯、百度、美团等中国一大批互联网公司都在用,可谓影响广泛。目前微步TDP支持对该漏洞的检出。

以下为微步情报局对该漏洞的评估结果:

公开程度 PoC未公开
利用条件 无权限要求
交互要求 0-click
漏洞危害 高危权限绕过、命令执行
影响版本 ≤1.10.2

漏洞复现

经微步情报局进行复现,YApi接口管理平台通过注入获取到用户token,结合自动化测试API接口写入待命命令,并利用沙箱逃逸触发命令执行。

 获取用户token:

YApi中某函数存在拼接,导致MongoDB注入可获取所有token,包括用户ID、项目ID等必要参数。

速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)

 命令执行

YApi后台的pre-request和pre-response功能存在被利用风险,通过填写脚本,调用自动化测试runAutoTest()时会触发跟进变量被传入了 crossRequest 函数。

然后通过分析sandbox函数可发现vm模块,利用vm模块构造可逃逸的命令执行数据包达到命令执行效果。

速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)

经分析,目前YApi所有版本(包括最新的1.12.0版本)都受此命令执行漏洞影响!最新的1.12.0版本修复方式是默认关闭脚本引擎,并没有根本修复漏洞代码,如果管理员开启配置,依旧存在后台代码执行漏洞。

时间轴

1

2022.07

● 微步“X漏洞奖励计划”获取该漏洞相关情报;

2

2022.07

 漏洞研究与分析;

3

2022.07

● TDP支持对该漏洞检测;

4

2022.08

 OneSIG、OneEDR支持对该漏洞检测;

5

2022.09

● X企业版支持对该漏洞检测;

6

2022.10

● 报送监管、厂商、漏洞情报订阅客户;

7

2022.11

 补丁发布。

修复方案

目前官方已出修复补丁,以下为下载链接:


https://github.com/YMFE/yapi/commit/59bade3a8a43e7db077d38a4b0c7c584f30ddf8c


· END ·

点击下方名片,关注我们
觉得内容不错,就点下在看
如果不想错过新的内容推送,可以设为星标速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)

原文始发于微信公众号(微步在线研究响应中心):速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月23日22:38:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  速修!开源API接口管理平台YApi爆高危漏洞(附补丁链接) https://cn-sec.com/archives/1405034.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: