发布时间:2021-07-08 17:36:48,来源:腾讯云计算(北京)有限责任公司、北京奇虎科技有限公司
近日,互联网披露了YAPI远程代码执行0day漏洞,该漏洞已在野利用,并正在扩散。攻击者可利用该漏洞实现远程代码执行。建议用户通过临时防护措施缓解该漏洞风险,做好资产自查以及预防工作,以免遭受黑客攻击。
高危
YAPI接口管理平台是国内某旅行网站的开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。
该漏洞存在于YAPI的mock脚本服务上,是由于mock脚本自定义服务未对JS脚本加以命令过滤,用户可以添加任何请求处理脚本,攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码,最终导致接管并控制服务器。
目前为0day状态,官方暂未发布补丁,影响所有版本
目前该漏洞暂无补丁,建议受影响的用户参考以下临时缓解措施:
1. 部署防火墙实时拦截威胁;
2. 关闭YAPI用户注册功能,阻断攻击者注册;
3. 禁止YAPI所在服务器从外部网络访问;
4. 排查YAPI服务器是否存在恶意访问记录;
5. 删除恶意mock脚本,防止再被访问触发;
6. 服务器回滚快照。
https://github.com/YMFE/yapi/issues/2229
https://github.com/YMFE/yapi/issues/2233