该漏洞已在野利用,并正在扩散。攻击者可利用该漏洞实现远程代码执行。
一、漏洞情况
近日,互联网披露了YAPI远程代码执行0day漏洞,该漏洞已在野利用,并正在扩散。攻击者可利用该漏洞实现远程代码执行。建议用户通过临时防护措施缓解该漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
三、漏洞描述
YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。
四、影响范围
目前为0day状态,官方暂未发布补丁,影响所有版本
五、安全建议
目前该漏洞暂无补丁,建议受影响的用户参考以下临时缓解措施:
1. 部署防火墙实时拦截威胁;
2. 关闭YAPI用户注册功能,阻断攻击者注册;
3. 禁止YAPI所在服务器从外部网络访问;
4. 排查YAPI服务器是否存在恶意访问记录;
5. 删除恶意mock脚本,防止再被访问触发;
6. 服务器回滚快照。
六、参考链接
1. https://github.com/YMFE/yapi/issues/2229
2. https://github.com/YMFE/yapi/issues/2233
支持单位:
腾讯云计算(北京)有限责任公司
北京奇虎科技有限公司
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]。
相关资讯