關(guān)于 YApi 存在命令執(zhí)行漏洞的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

YApi 后臺(tái)的 pre-request 和 pre-response 功能存在被利用風(fēng)險(xiǎn),通 過(guò)填寫(xiě)腳本,調(diào)用自動(dòng)化測(cè)試 runAutoTest()時(shí)會(huì)觸發(fā)跟進(jìn)變量被傳 入了 crossRequest 函數(shù),利用 vm 模塊構(gòu)造可逃逸的命令執(zhí)行數(shù)據(jù)包 達(dá)到命令執(zhí)行利用。

二、風(fēng)險(xiǎn)等級(jí)

嚴(yán)重

三、影響范圍

影響版本:版本≤1.10.2

四、處置建議

目前官方已出修復(fù)補(bǔ)丁,建議更新至修復(fù)后的版本,以下 為下載鏈接: https://github.com/YMFE/yapi/commit/59bade3a8a43e7d b077d38a4b0c7c584f30ddf8c