漏
洞
预
警
一、漏洞情况
|
近日,互联网披露了YAPI远程代码执行0day漏洞,该漏洞已在野利用,并正在扩散。攻击者可利用该漏洞实现远程代码执行。建议用户通过临时防护措施缓解该漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。 |
二、漏洞等级
|
高危 |
三、漏洞描述
|
YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。 |
四、影响范围
|
目前为0day状态,官方暂未发布补丁,影响所有版本 |
五、安全建议
|
目前该漏洞暂无补丁,建议受影响的用户参考以下临时缓解措施: 1. 部署防火墙实时拦截威胁; 2. 关闭YAPI用户注册功能,阻断攻击者注册; 3. 禁止YAPI所在服务器从外部网络访问; 4. 排查YAPI服务器是否存在恶意访问记录; 5. 删除恶意mock脚本,防止再被访问触发; 6. 服务器回滚快照。 |
六、参考链接
|
1. https://github.com/YMFE/yapi/issues/2229 2. https://github.com/YMFE/yapi/issues/2233 |
支持单位:
腾讯云计算(北京)有限责任公司
北京奇虎科技有限公司
文章来源:网络安全威胁和漏洞信息共享平台
本文始发于微信公众号(互联网安全内参):YAPI开源接口管理平台远程代码执行零日漏洞预警
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论