YAPI远程代码执行0 day漏洞
发布时间 2021-07-090x00 漏洞概述
CVE ID | 时 间 | 2021-07-09 | |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | 所有版本 |
攻击复杂度 | 可用性 | 高 | |
用户交互 | 所需权限 | ||
PoC/EXP | 在野利用 | 是 |
0x01 漏洞详情
YAPI 是一个高效、易用、功能强大的API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。
2021年7月8日,YAPI被披露存在一个远程代码执行0 day漏洞。由于mock脚本自定义服务对JS脚本过滤不严,导致用户可以添加请求处理脚本,并在脚本中植入恶意命令,最终造成远程命令执行。目前该漏洞已被僵尸网络和木马大规模利用。
0x02 处置建议
目前此漏洞暂无补丁。建议等待官方发布补丁,并应用以下缓解措施:
l 关闭YAPI用户注册功能;
l 删除已注册的恶意账户;
l 删除恶意mock脚本;
l 回滚服务器快照。
下载链接:
https://github.com/YMFE/yapi
0x03 参考链接
https://github.com/YMFE/yapi/issues/2229
https://github.com/YMFE/yapi
https://s.tencent.com/research/report/76
0x04 时间线
2021-07-08 漏洞披露
2021-07-09 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号