8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

YAPI远程代码执行0 day缝隙

颁布功夫 2021-07-09

0x00 缝隙概述

CVE ID		时间	2021-07-09
类型	RCE	等级	高危
远程利用	是	影响领域	所有版本
攻击复杂度		可用性	高
用户交互		所需权限
PoC/EXP		在野利用	是

0x01 缝隙详情

YAPI 是一个高效、易用、职能壮大的API治理平台，，，，，，旨在为开发、产品、测试人员提供更优雅的接口治理服务。。。。。

2021年7月8日，，，，，，YAPI被披露存在一个远程代码执行0 day缝隙。。。。。由于mock剧本自界说服务对JS剧本过滤不严，，，，，，导致用户能够增长要求处置剧本，，，，，，并在剧本中植入恶意号令，，，，，，最终造成远程号令执杏祝。。。。目前该缝隙已被僵尸网络和木马大规模利用。。。。。

0x02 措置建议

目前此缝隙暂无补丁。。。。。建议期待官方颁布补丁�。。。。�，，，，，并利用以下缓解措施：

l 关关YAPI用户注册职能；；；；；；；

l 删除已注册的恶意账户；；；；；；；

l 删除恶意mock剧本；；；；；；；

l 回滚服务器快照。。。。。

下载链接：

https://github.com/YMFE/yapi

0x03 参考链接

https://github.com/YMFE/yapi/issues/2229

https://github.com/YMFE/yapi

https://s.tencent.com/research/report/76

0x04 功夫线

2021-07-08 缝隙披露

2021-07-09 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】