一、事件概述
近日,绿盟科技CERT监测发现 YAPI 可视化接口管理平台存在在野攻击事件,由于大量用户使用 YAPI的默认配置并允许从外部网络访问 YAPI服务。导致攻击者通过注册平台账户后,可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码,从而控制目标服务器。YAPI官方暂未发布消息和修复方案,目前PoC已公开,请相关用户采取措施进行防护。
YAPI是由去哪儿网移动架构组(YMFE)开发的可视化接口管理工具,是一个可本地部署的、打通前后端及QA的接口管理平台。
参考链接:
https://github.com/YMFE/yapi/issues/2233
二、影响范围
受影响版本
- YAPI <= v1.9.2
三、威胁防护
3.1 防护建议
目前官方暂未针对该问题发布修复方案,受影响的用户可参考下列措施进行防护:
1、禁止公网访问YAPI
2、关闭YAPI服务注册功能
3、关闭YAPI Mock功能
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。