盛邦安全

安全预警，防患未然

首页 > 烽火狼烟

YAPI认证用户利用Mock功能远程代码执行漏洞风险提示

漏洞概述

2021年7月8日，WebRAY烽火台实验室监测到YAPI认证用户利用Mock功能远程代码执行事件，攻击者可以在YAPI接口管理平台上注册用户，之后使用YAPI的Mock服务在服务器上执行任意代码，攻击者可利用此漏洞控制受害服务器。由于该漏洞易于利用且漏洞危害较大，WebRAY烽火台实验室建议相关用户关闭注册功能并禁止外部网络访问YAPI所在服务器。

YAPI是一个可本地部署的、打通前后端及QA的、可视化的API接口管理平台，该平台自带Mock服务，能够根据接口的数据结构生成随机数据，每一个Mock地址都被一个接口对应，因为种种优点YAPI被很多企业所采用。

WebRAY 烽火台实验室也将持续关注该漏洞进展，第一时间为您更新该漏洞信息。

影响范围

漏洞编号	影响范围
暂无	开放注册服务的YAPI服务器

漏洞等级

WebRAY烽火台实验室风险评级：高危

修复建议

1、禁止用户注册；

2、排查服务器中是否存在恶意Mock脚本；

3、删除掉恶意的已经注册的用户；

4、把YAPI所在服务器放进内网并且禁止外部网络访问。

检测发现

盛邦安全积极响应该漏洞，当前盛邦安全检测类产品已支持对该漏洞进行安全检测，详情请咨询销售人员。

关于您的项目需求

关于您的项目需求