YAPI开源接口管理平台远程代码执行零日漏洞预警

近日，互联网披露了YAPI远程代码执行0day漏洞，该漏洞已在野利用，并正在扩散。攻击者可利用该漏洞实现远程代码执行。建议用户通过临时防护措施缓解该漏洞风险，做好资产自查以及预防工作，以免遭受黑客攻击。

高危

YAPI接口管理平台是国内某旅行网站的开源项目，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

该漏洞存在于YAPI的mock脚本服务上，是由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，攻击者可利用该漏洞在受影响的服务器上执行任意javascript代码，最终导致接管并控制服务器。

目前为0day状态，官方暂未发布补丁，影响所有版本

目前该漏洞暂无补丁，建议受影响的用户参考以下临时缓解措施：

1. 部署防火墙实时拦截威胁；

2. 关闭YAPI用户注册功能，阻断攻击者注册；

3. 禁止YAPI所在服务器从外部网络访问；

4. 排查YAPI服务器是否存在恶意访问记录；

5. 删除恶意mock脚本，防止再被访问触发；

6. 服务器回滚快照。

1. https://github.com/YMFE/yapi/issues/2229

2. https://github.com/YMFE/yapi/issues/2233