一丶漏洞介绍
YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。
二丶复现步骤
1.找到注册功能点,注册一个用户
2.利用注册的用户账号密码登陆,添加一个项目
3.然后添加接口
4.在添加的接口里面找到高级Moc,添加脚本POC,保存
5.在预览处点击Mock地址链接,复现成功
三丶修复方案
关闭注册功能,禁止使用默认账号密码
清除可疑账户
删除Mock恶意脚本
一丶漏洞介绍
YApi接口管理平台远程代码执行0day漏洞,攻击者可通过平台注册用户添加接口,设置mock脚本从而执行任意代码。
二丶复现步骤
1.找到注册功能点,注册一个用户
2.利用注册的用户账号密码登陆,添加一个项目
3.然后添加接口
4.在添加的接口里面找到高级Moc,添加脚本POC,保存
5.在预览处点击Mock地址链接,复现成功
三丶修复方案
关闭注册功能,禁止使用默认账号密码
清除可疑账户
删除Mock恶意脚本