严重 YApi管理平台任意代码执行漏洞
CVE编号
N/A利用情况
漏洞武器化补丁情况
缓解措施披露时间
2021-07-08漏洞描述
YApi 是一个可本地部署的、打通前后端及QA的、可视化的接口管理平台。2021年7月7日,阿里云应急响应中心监测到互联网上披露YApi管理平台任意命令执行漏洞。若Yapi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。阿里云应急响应中心提醒 YApi 用户尽快采取安全措施阻止漏洞攻击。解决建议
官方尚未发布修复Release版本,可按照以下方式进行缓解1、利用阿里云安全组设置Yapi仅对可信地址开放。2、编辑Yapi目录下的 config.json 文件,设置 closeRegister 为 true,关闭Yapi的前台注册功能。{ "closeRegister":true}
参考链接 |
|
|---|---|
| https://help.aliyun.com/noticelist/articleid/1060869747.html |
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 普通权限
- 影响范围 全局影响
- EXP成熟度 漏洞武器化
- 补丁情况 缓解措施
- 数据保密性 数据泄露
- 数据完整性 传输被破坏
- 服务器危害 服务器失陷
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-94 | 对生成代码的控制不恰当(代码注入) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论