【高危】- YApi服务挖矿风险预警
■ 漏洞描述
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。
集团安全团队关注到多个YApi用户反馈其YApi服务中了挖矿木马,原因是高级Mock可直接获取到系统权限。
■ 影响范围
全版本
■ 漏洞检测
自查YApi是否开放了注册功能。
https://github.com/YMFE/yapi/issues/2099
■ 漏洞修复
由于官方已停止更新,整理修复方案如下:
1. YApi服务收敛为内网服务或限制访问白名单;
2. 关闭公开注册,敏感服务禁止开放访问;
3. YApi服务使用低权限用户启动;
4. YApi接入集团SSO统一认证。
■ 临时修复
限制内网访问。
■ 漏洞详情
开放注册功能的YApi,任意用户均可创建接口文档,当恶意用户在Mock中添加了恶意脚本任务时,攻击者将获取到服务器权限。
参考如下:
https://github.com/YMFE/yapi/issues/2229
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。
集团安全团队关注到多个YApi用户反馈其YApi服务中了挖矿木马,原因是高级Mock可直接获取到系统权限。
■ 影响范围
全版本
■ 漏洞检测
自查YApi是否开放了注册功能。
https://github.com/YMFE/yapi/issues/2099
■ 漏洞修复
由于官方已停止更新,整理修复方案如下:
1. YApi服务收敛为内网服务或限制访问白名单;
2. 关闭公开注册,敏感服务禁止开放访问;
3. YApi服务使用低权限用户启动;
4. YApi接入集团SSO统一认证。
■ 临时修复
限制内网访问。
■ 漏洞详情
开放注册功能的YApi,任意用户均可创建接口文档,当恶意用户在Mock中添加了恶意脚本任务时,攻击者将获取到服务器权限。
参考如下:
https://github.com/YMFE/yapi/issues/2229