1. 漏洞概述
2022年11月16日,监测到YApi命令执行漏洞,漏洞威胁等级:高危。
2. 漏洞详情
YApi 是一个支持本地部署的可视化接口管理平台。
YApi 在 1.12.0 之前的版本(目前所有版本)中由于server/controllers/base.js没有正确对 token 参数进行正确过滤,导致攻击者可通过MongoDB注入获取用户 token,其中包括用户ID、项目ID等参数。yapi的common/postmanLib.js里的pre-request和pre-response方法存在缺陷点,并且在server/utils/commons.js内引入sandbox函数,sandbox函数中包含vm模块,通过注入调用自动化测试接口runAutoTest(),进而利用沙箱逃逸触发命令执行。
3. 影响版本
影响版本:
YApi < 1.12.0
4. 处置建议
修复方案
一、版本升级
目前官方已有可更新版本,建议受影响用户更新至 1.12.0 及以上版本。
https://github.com/YMFE/yapi/releases/tag/v1.12.0
注:
1. YApi 1.11.0版本已修复Mongo注入获取Token的问题,导致攻击者无法在未授权的情况下利用此漏洞。
2. 在YApi 1.12.0的版本更新中,仅默认禁用了Pre-request和Pre-response脚本功能,使得此漏洞在默认配置下无法利用。
二、缓解措施
1. 在业务允许的情况下,建议将YApi部署在内网,禁止外网访问。
2. 修改默认token加密的盐:
编辑项目根目录中的config.json,添加"passsalt":"任意随机值",如:
{
…
"passsalt":"this_is_a_test"
…
}
保存,重启YApi服务即可。
