您所在的位置: 首頁 >
安全研究 >
安全通告 >
YAPI遠程代碼執(zhí)行零日漏洞預警
YAPI遠程代碼執(zhí)行零日漏洞預警
一、漏洞情況
近日,互聯(lián)網(wǎng)披露了YAPI遠程代碼執(zhí)行0day漏洞,該漏洞已在野利用,并正在擴散。攻擊者可利用該漏洞實現(xiàn)遠程代碼執(zhí)行。建議用戶通過臨時防護措施緩解該漏洞風險,做好資產(chǎn)自查以及預防工作,以免遭受黑客攻擊。
二、漏洞等級
高危
三、漏洞描述
YAPI接口管理平臺是國內(nèi)某旅行網(wǎng)站的開源項目,為前端后臺開發(fā)與測試人員提供更優(yōu)雅的接口管理服務,該系統(tǒng)被國內(nèi)較多知名互聯(lián)網(wǎng)企業(yè)所采用。
該漏洞存在于YAPI的mock腳本服務上,是由于mock腳本自定義服務未對JS腳本加以命令過濾,用戶可以添加任何請求處理腳本,攻擊者可利用該漏洞在受影響的服務器上執(zhí)行任意javascript代碼,最終導致接管并控制服務器。
四、影響范圍
目前為0day狀態(tài),官方暫未發(fā)布補丁,影響所有版本
五、安全建議
目前該漏洞暫無補丁,建議受影響的用戶參考以下臨時緩解措施:
1. 部署防火墻實時攔截威脅;
2. 關閉YAPI用戶注冊功能,阻斷攻擊者注冊;
3. 禁止YAPI所在服務器從外部網(wǎng)絡訪問;
4. 排查YAPI服務器是否存在惡意訪問記錄;
5. 刪除惡意mock腳本,防止再被訪問觸發(fā);
6. 服務器回滾快照。
六、參考鏈接
1. https://github.com/YMFE/yapi/issues/2229
2. https://github.com/YMFE/yapi/issues/2233
來源:網(wǎng)絡安全威脅和漏洞信息共享平臺 原創(chuàng) CSTIS