YAPI远程代码实行0 day漏洞

发布时间 2021-07-09

0x00 漏洞概述

CVE     ID


时       间

2021-07-09

类       型

RCE

等      级

高危

远程利用

影响范围

  所有版本

攻击复杂度


可用性

用户交互


所需权限


PoC/EXP


在野利用

 

0x01 漏洞详情

image.png


YAPI 是一个高效、易用、功能强大的API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。

2021年7月8日,YAPI被披露存在一个远程代码实行0 day漏洞。由于mock脚本自定义服务对JS脚本过滤不严,导致用户可以添加请求处理脚本,并在脚本中植入恶意命令,最终造成远程命令实行。目前该漏洞已被僵尸网络和木马大规模利用。

 

0x02 处置建议

目前此漏洞暂无补丁。建议等待官方发布补丁,并应用以下缓解措施:

l  关闭YAPI用户注册功能;

l  删除已注册的恶意账户;

l  删除恶意mock脚本;

l  回滚服务器快照。

下载链接:

https://github.com/YMFE/yapi

 

0x03 参考链接

https://github.com/YMFE/yapi/issues/2229

https://github.com/YMFE/yapi

https://s.tencent.com/research/report/76

 

0x04 时间线

2021-07-08  漏洞披露

2021-07-09  VSRC发布安全通告

0x05 附录

CVSS评分标准官网:http://www.first.org/cvss/

image.png