關(guān)于 YApi 存在命令執(zhí)行漏洞的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

YApi 后臺的 pre-request 和 pre-response 功能存在被利用風(fēng)險,通 過填寫腳本,調(diào)用自動化測試 runAutoTest()時會觸發(fā)跟進變量被傳 入了 crossRequest 函數(shù),利用 vm 模塊構(gòu)造可逃逸的命令執(zhí)行數(shù)據(jù)包 達到命令執(zhí)行利用。

二、風(fēng)險等級

嚴重

三、影響范圍

影響版本:版本≤1.10.2

四、處置建議

目前官方已出修復(fù)補丁,建議更新至修復(fù)后的版本,以下 為下載鏈接: https://github.com/YMFE/yapi/commit/59bade3a8a43e7d b077d38a4b0c7c584f30ddf8c