漏洞概述
2021年7月8日,WebRAY烽火台实验室监测到YAPI认证用户利用Mock功能远程代码执行事件,攻击者可以在YAPI接口管理平台上注册用户,之后使用YAPI的Mock服务在服务器上执行任意代码,攻击者可利用此漏洞控制受害服务器。由于该漏洞易于利用且漏洞危害较大,WebRAY烽火台实验室建议相关用户关闭注册功能并禁止外部网络访问YAPI所在服务器。
YAPI是一个可本地部署的、打通前后端及QA的、可视化的API接口管理平台,该平台自带Mock服务,能够根据接口的数据结构生成随机数据,每一个Mock地址都被一个接口对应,因为种种优点YAPI被很多企业所采用。
WebRAY 烽火台实验室也将持续关注该漏洞进展,第一时间为您更新该漏洞信息。
影响范围
漏洞编号 |
影响范围 |
|
暂无 |
开放注册服务的YAPI服务器 |
漏洞等级
WebRAY烽火台实验室风险评级:高危
修复建议
1、禁止用户注册;2、排查服务器中是否存在恶意Mock脚本;3、删除掉恶意的已经注册的用户;4、把YAPI所在服务器放进内网并且禁止外部网络访问。
检测发现
盛邦安全积极响应该漏洞,当前盛邦安全检测类产品已支持对该漏洞进行安全检测,详情请咨询销售人员。
来源:freebuf.com 2021-07-09 17:49:19 by: WebRAY
相关推荐: 在线客服系统的性能标杆-火烈云,满足企业95%的工单管理需求 – 作者:huolieyun
在线客服系统的性能标杆-火烈云,满足企业95%的工单管理需求智能客服已经融入到了生活的方方面面,很多时候,我们能够感受到它所带来的便利,比如:用户不在排队等待、解答客户疑问效率变高、企业运转更有秩序等等情况。那么其实一个功能齐备的客服系统不仅能够在接待客户的情…
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
恐龙抗狼扛1年前0
kankan啊啊啊啊3年前0
66666666666666