關于 YApi 存在命令執行漏洞的安全公告

 漏洞資訊     |      2022-11-17

一、漏洞分析

YApi 后臺的 pre-request 和 pre-response 功能存在被利用風險,通 過填寫腳本,調用自動化測試 runAutoTest()時會觸發跟進變量被傳 入了 crossRequest 函數,利用 vm 模塊構造可逃逸的命令執行數據包 達到命令執行利用。

二、風險等級

嚴重

三、影響范圍

影響版本:版本≤1.10.2

四、處置建議

目前官方已出修復補丁,建議更新至修復后的版本,以下 為下載鏈接: https://github.com/YMFE/yapi/commit/59bade3a8a43e7d b077d38a4b0c7c584f30ddf8c