YAPI远程代码执行漏洞预警

2021-07-08

一、概要

近日，华为云安全运营中心监测到多起外部攻击者利用YAPI远程代码执行漏洞进行攻击入侵的事件，并且有上升趋势。漏洞由于YAPI使用的mock脚本自定义服务未对JS脚本进行过滤，导致攻击者可以在脚本中注入恶意命令，实现远程代码执行。目前业界已存在在野攻击利用，风险较高。

YAPI 是高效、易用、功能强大的api 管理平台。华为云提醒使用YAPI的用户尽快安排自检并做好安全加固以降低安全风险。

参考链接：https://github.com/YMFE/yapi/issues/2233

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

YAPI所有版本

四、安全建议

目前官方暂未发布补丁修改该漏洞，受影响的用户可参考以下措施进行缓解：

1.华为云WAF可以防御该漏洞攻击。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

2.关闭 YAPI 用户注册功能，参考：如何禁止注册；

3.检查、删除已注册的恶意用户；

4.检查、删除恶意mock脚本；

5.服务器回滚快照；

6.如无必要，禁止将 YAPI服务器对外网开放访问或仅对可信IP开放；

7.更改yapi管理员用户的口令，不要使用默认口令。

注：修复漏洞前请将资料备份，并进行充分测试。