漏洞公告
近日,安恒应急响应中心监测到YApi平台存在高危漏洞,攻击者可利用该漏洞在目标服务器上执行任意代码,可导致服务器被攻击者控制。
根据官方Github issue显示,多位用户反馈使用该平台后服务器被黑客入侵植入木马,详细参见:
https://github.com/YMFE/yapi/issues/2229
一
影响范围
已知受影响版本:YApi v1.9.2
通过安恒 SUMAP 平台对全球部署的YApi平台进行统计,最新查询分布情况如下:
全球分布:
国内分布:
安恒应急响应中心已验证该漏洞的可利用性:
二
漏洞描述
YApi是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台,根据分析,默认安装的YApi平台未限制注册功能,攻击者可注册平台帐号,通过后台创建自定义的MOCK脚本,实现在目标服务器上执行任意代码。
三
缓解措施
高危:目前漏洞细节和利用代码已经公开,建议部署了存在漏洞版本的用户及时做好加固防护。
处置:
1、禁用YApi用户注册功能:可通过配置yapi项目目录下config.json文件禁用该平台的用户注册功能
配置后需要重启服务
2、排查YApi平台是否存在弱口令或默认口令账户并进行加固。
3、配置访问控制策略,避免YApi暴露在公网
安恒应急响应中心
2021年07月
本文始发于微信公众号(安恒信息应急响应中心):YApi高危漏洞风险提示
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论