#1 背景描述
YAPI是高效、易用、功能强大的 API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务,可以帮助开发者轻松创建、发布、维护 API。YAPI还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
近日,迪普科技发现了YAPI远程代码执行漏洞。该漏洞目前已在野利用,远程攻击者可以利用该漏洞进行远程代码执行。迪普科技提醒YAPI相关用户尽快采取安全措施阻止漏洞攻击。
#2 严重等级
高危 |
#3 漏洞描述
该漏洞与YAPI中mock脚本有关,由于mock脚本对用户的输入安全校验不足,攻击者可以在mock脚本中写入恶意代码,用户在访问mock脚本时会触发该代码,导致远程代码执行漏洞。远程且未经授权认证的攻击者通过利用此漏洞,可在服务端执行恶意代码,从而获取系统权限。
#4 解决方案
官方暂时没有解决方案,请持续关注官方信息:
https://github.com/YMFE/yapi
临时解决方案
1. 关闭YAPI注册功能,防止新攻击
2. 删除本地恶意账户,杜绝后患
3. 回滚服务器快照,清除已存在的后门
4. 同步删除恶意mock脚本以防止二次攻击
迪普科技解决方案
迪普科技安全服务团队可协助客户对部署了YAPI的现网信息资产进行梳理,指导版本升级以及安全配置等各种安全加固工作。如服务器疑似被入侵,可安排安全服务专家针对网络安全入侵事件,提供快速应急响应支撑服务以及专业的安全建设建议,指导完善安全防护措施。
迪普科技正在全力跟踪相关漏洞的最新进展,有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598)进一步了解相关情况。
迪普科技安全服务拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证,作为中国国家信息安全漏洞库一级技术支撑单位,依托业内一流的安全服务专家团队和丰富的行业经验积累,以高质量、高标准的理念,为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务,帮助客户建立并持续完善网络安全技术和安全管理体系,提升客户信息系统的整体安全防护水平。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...