• 我的位置:
  • 首頁
  • -
  • 漏洞預警
  • -
  • 其他
  • -
    • YAPI遠程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:未知
    • 漏洞類型: 遠程代碼執(zhí)行
    • 威脅類型:遠程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-07-09
    • 更新時間:2021-07-09

    漏洞簡介

    1、組件介紹

    YAPI是由去哪兒網(wǎng)移動架構組(簡稱YMFE,一群由FE、iOS和Android工程師共同組成的具想象力、創(chuàng)造力和影響力的大前端團隊)開發(fā)的可視化接口管理工具,是一個可本地部署的、打通前后端及QA的接口管理平臺。YAPI旨在為開發(fā)、產(chǎn)品和測試人員提供更優(yōu)雅的接口管理服務,可以幫助開發(fā)者輕松創(chuàng)建、發(fā)布和維護不同項目,不同平臺的API。

    2、漏洞描述

    2021年7月8日,深信服安全團隊監(jiān)測到一則YAPI組件存在遠程代碼執(zhí)行漏洞的信息,漏洞威脅等級:高危。

    該漏洞是由于沒有針對mock模塊輸入的內(nèi)容進行檢測,攻擊者可利用該漏洞在進行簡單的注冊之后,構造惡意的JS代碼繞過沙盒,最終造成遠程代碼執(zhí)行。

    漏洞公示

    暫無

    參考網(wǎng)站

    暫無

    受影響實體

    在世界范圍內(nèi),YAPI主要部署在中國,在土耳其、美國、新加坡等國家也有少量部署。

    國內(nèi)主要分布在浙江、北京、廣東等地。

    目前受影響的YAPI版本:未知

    補丁

    1、如何檢測組件系統(tǒng)版本

     登錄站點主頁,可在最下方查看組件版本:



    2、官方修復建議

    該漏洞官方暫未發(fā)布補丁,請受影響的用戶實時關注官網(wǎng)以獲取最新信息。鏈接如下:

    https://github.com/YMFE/yapi


    3、臨時解決方案


    1.關閉YAPI注冊功能


    2.刪除惡意賬戶


    3.回滾服務器快照


    4.同步刪除惡意mock腳本以防止二次攻擊