漏洞描述
YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。
漏洞复现
访问页面:
点击登录/注册,存在注册功能。
注册用户后登录,添加项目。
然后选择设置全局的mock脚本。
访问Mock地址
成功命令执行。
漏洞影响
目前为0day状态,官方暂未发布补丁,影响所有版本
YaPi互联网资产分布情况:
安全建议
目前该漏洞暂无补丁,建议受影响的用户参考以下临时缓解措施:
1. 部署防火墙实时拦截威胁;
2. 关闭YAPI用户注册功能,阻断攻击者注册;
3. 禁止YAPI所在服务器从外部网络访问;
4. 排查YAPI服务器是否存在恶意访问记录;
5. 删除恶意mock脚本,防止再被访问触发;
6. 服务器回滚快照。
脆弱性评估
|
严重程度 |
高 |
■ |
中 |
低 |
参考链接
https://github.com/YMFE/yapi/issues/2233#https://www.seebug.org/vuldb/ssvid-99293
招聘信息
岗位:安全服务工程师
工作地:内蒙古自治区呼和浩特市
要求:有一点攻防能力即可。
公司提供平台:包括不限于攻防实战演练,各大论坛账号(包括不限于所有国内主流安全论坛),学习机会,良好的团队氛围,各种工具和神器。
福利:双休,法定节假日放假,特殊人群放假,例如:六一儿童节给有孩子的员工放半天假。节日礼物,生日礼物,年终奖,项目奖金等。
联系电话:李主管:13347145946
邮箱:[email protected]、[email protected]
有意向的小伙伴可将简历投递到邮箱或直接来电即可。
关于天大天财
内蒙古天大天财信息技术有限责任公司,成立于1999年,是集网络安全服务、安全集成、计算机系统集成、公共安全技术防范系统设计|施工|维修为一体的综合性高科技信息公司
专注产生价值,天大天财致力于做内蒙古网络安全设计、实施、运维服务综合实力最强的本土品牌,我们潜心了解客户业务需求及痛点,注重提升与客户的粘合度,赢得了客户与市场的认可,享有很好的商誉;我们坚持以技术实施、服务为基础,注重技术团队的培养与提升,拥有一支技术过硬的服务团队,能够为全区客户提供及时的应急支援服务,同时,为了能够为客户做更优质更有水准的安全服务,我们成立了天大天财安全实验室,推出了自己的安全服务产品,收到客户的高度认可。
2018年被评为内蒙古网络安全行业协会理事长单位,获得内蒙古自治区科技型企业资质以及高新技术企业证书,涉密资质由原来的三项(集成、运维、安防)新增一项国家秘密载体印制资质证书.
连续三年参加省级攻防演练。
服务能力图示:
服务热线:0471-2658551/552/553
地址:内蒙古自治区呼和浩特市赛罕区昭乌达路世纪六路鸿博大厦4层
原文始发于微信公众号(天大天财):YaPi远程命令执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论