0x00 漏洞概述
|
CVE ID |
时 间 |
2021-07-09 |
|
|
类 型 |
RCE |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
所有版本 |
|
攻击复杂度 |
可用性 |
高 |
|
|
用户交互 |
所需权限 |
||
|
PoC/EXP |
在野利用 |
是 |
0x01漏洞详情
YAPI 是一个高效、易用、功能强大的API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。
2021年7月8日,YAPI被披露存在一个远程代码执行0 day漏洞。由于mock脚本自定义服务对JS脚本过滤不严,导致用户可以添加请求处理脚本,并在脚本中植入恶意命令,最终造成远程命令执行。目前该漏洞已被僵尸网络和木马大规模利用。
0x02处置建议
目前此漏洞暂无补丁。建议等待官方发布补丁,并应用以下缓解措施:
-
关闭YAPI用户注册功能;
-
删除已注册的恶意账户;
-
删除恶意mock脚本;
-
回滚服务器快照。
下载链接:
https://github.com/YMFE/yapi
0x03参考链接
https://github.com/YMFE/yapi/issues/2229
https://github.com/YMFE/yapi
https://s.tencent.com/research/report/76
0x04时间线
2021-07-08 漏洞披露
2021-07-09 VSRC发布安全通告
0x05附录
CVSS评分标准官网:http://www.first.org/cvss/
本文始发于微信公众号(维他命安全):YAPI远程代码执行0 day漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论