YApi命令执行漏洞(MPS-2022-60494)安全风险通告
YApi命令执行漏洞(MPS-2022-60494)安全风险通告
本文转自奇安信 CERT 并作补充
项目介绍
YApi 是高效、易用、功能强大的 API管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护API。
近日,奇安信CERT监测到YApi命令执行漏洞,远程未授权的攻击者可通过注入漏洞获取有效用户token,进而利用自动化测试接口绕过沙箱限制,最终在目标系统上执行任意命令。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
漏洞概述
YApi中存在命令执行漏洞,远程未授权的攻击者可通过注入漏洞获取有效用户token,进而利用自动化测试接口绕过沙箱限制,最终在目标系统上执行任意命令。
影响版本
YApi < 1.12.0
修复方式
一、版本升级
目前官方已有可更新版本,建议受影响用户更新至 1.12.0 及以上版本。
注:
- YApi 1.11.0版本已修复Mongo注入获取Token的问题,导致攻击者无法在未授权的情况下利用此漏洞。
- 在YApi 1.12.0的版本更新中,仅默认禁用了Pre-request和Pre-response脚本功能,使得此漏洞在默认配置下无法利用。
二、缓解措施
- 在业务允许的情况下,建议将YApi部署在内网,禁止外网访问。
- 修改默认token加密的盐:
编辑项目根目录中的config.json,添加”passsalt”:”任意随机值”,如:"passsalt":"this_is_a_test"
保存,重启YApi服务即可。
参考链接
https://github.com/YMFE/yapi/commit/59bade3a8a43e7db077d38a4b0c7c584f30ddf8c?diff=split
