尊敬的胸弟,您好
青云安全团队近日监测到 YAPI 远程代码执行 0day 漏洞在野利用,漏洞利用难度低,危害性高,存在严重风险。青云安全建议您请检查当前是否使用受漏洞影响的软件版本。
【漏洞详情】
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
YApi 的 mock 脚本可以通过设定固定数据返回固定内容,用户可以自定义 JS 脚本的方式处理特定的请求并且获取返回结果,本次漏洞发生在 mock 脚本服务上。由于 mock 服务未对用户自定义的 JS 脚本进行有效的过滤,导致用户可以添加恶意请求脚本,当用户访问接口时则会触发恶意脚本,导致命令执行。
【漏洞评级】高危
【受影响版本】全版本
【修复建议】
目前漏洞暂无修复补丁,处于0day状态,青云安全建议您:
1)禁止 YAPI 用户注册功能,阻断攻击者注册。
2)删除恶意已注册用户,避免攻击者再次添加 mock 脚本。
3)排查是否存在已经存在恶意用户创建 mock 恶意脚本,及时清理。
4)排查受影响机器是否被植入后门,及时清理。
5)已备份的服务器回滚快照,清除利用漏洞植入的后面
【参考链接】https://github.laobiao.workers.dev/YMFE/yapi/issues/2233
青云安全团队近日监测到 YAPI 远程代码执行 0day 漏洞在野利用,漏洞利用难度低,危害性高,存在严重风险。青云安全建议您请检查当前是否使用受漏洞影响的软件版本。
【漏洞详情】
YApi 是高效、易用、功能强大的 api 管理平台,旨在为开发、产品、测试人员提供更优雅的接口管理服务。可以帮助开发者轻松创建、发布、维护 API,YApi 还为用户提供了优秀的交互体验,开发人员只需利用平台提供的接口数据写入工具以及简单的点击操作就可以实现接口的管理。
YApi 的 mock 脚本可以通过设定固定数据返回固定内容,用户可以自定义 JS 脚本的方式处理特定的请求并且获取返回结果,本次漏洞发生在 mock 脚本服务上。由于 mock 服务未对用户自定义的 JS 脚本进行有效的过滤,导致用户可以添加恶意请求脚本,当用户访问接口时则会触发恶意脚本,导致命令执行。
【漏洞评级】高危
【受影响版本】全版本
【修复建议】
目前漏洞暂无修复补丁,处于0day状态,青云安全建议您:
1)禁止 YAPI 用户注册功能,阻断攻击者注册。
2)删除恶意已注册用户,避免攻击者再次添加 mock 脚本。
3)排查是否存在已经存在恶意用户创建 mock 恶意脚本,及时清理。
4)排查受影响机器是否被植入后门,及时清理。
5)已备份的服务器回滚快照,清除利用漏洞植入的后面
【参考链接】https://github.laobiao.workers.dev/YMFE/yapi/issues/2233
This media is not supported in your browser
VIEW IN TELEGRAM
我去!郑州的兄弟们,出门小心呀!😱
最新更新:人已经全部救出!大家不用担心了!
最新更新:人已经全部救出!大家不用担心了!
如有乐享
如有乐享 滴滴出行企业版免费抽无门槛券,高概率2张10元!
滴滴企业版BUG羊毛薅的疼了!
不能每天抽奖了,仅周5抽奖了,且 10元 8元券限制只能 周5,周6,周日 使用了!
不能每天抽奖了,仅周5抽奖了,且 10元 8元券限制只能 周5,周6,周日 使用了!
近日,针对都某竹通过网络反映受到侵害和吴某凡一方报警称被敲诈勒索的情况,公安机关介入调查后,通过讯问嫌疑人、询问当事人、走访证人、调取书证、固定提取电子证据等工作,初步查明了有关事实。现就调查情况通报如下:
一、关于吴某凡与都某竹交往情况
2020年12月5日22时许,冯某(女,28岁,时任吴某凡执行经纪人)以挑选MV女主角面试为由,约都某竹(女,18岁)到吴某凡(男,30岁)家中参加聚会,10余人共同玩桌游并饮酒,次日凌晨至7时许,其他聚会人员陆续离开,都某竹酒后在吴某凡家中留宿,两人发生性关系。当日下午,都某竹在吴某凡家中用餐后自行离开,期间两人互相添加微信。12月8日,吴某凡给都某竹转账3.2万元用于网络购物。此后至2021年4月期间,两人保持微信联系。
二、关于都某竹等人发布网络信息情况
2021年6月,都某竹与好友刘某文(女,19岁)商议,在网上公开与吴某凡交往过程以提升网络知名度,遂由刘某文于6月2日以“刘美丽同学_”微博账号发布都某竹被吴某凡“冷暴力”的博文,7月8日至7月11日,都某竹跟进发布3篇博文。7月13日,网络写手徐某(男,31岁)为牟取利益,主动联系都某竹,经商议后,共同策划并由徐某撰写“决战”等10余篇微博文案,7月16日起由都某竹通过微博账号陆续发布。
三、关于犯罪嫌疑人刘某迢涉嫌诈骗犯罪的情况
2021年7月14日,朝阳警方接到吴某凡母亲吴某报警,称遭到都某竹敲诈勒索。当日警方依法进行了受理和调查,工作中锁定犯罪嫌疑人刘某迢(男,23岁),并于2021年7月18日在江苏省南通市将该人抓获。
经查,2021年6月,犯罪嫌疑人刘某迢看到都某竹和吴某凡的网络炒作信息后,遂产生冒充相关关系人对涉事双方进行诈骗的想法。期间,刘某迢虚构女性身份,以曾被吴某凡欺骗感情欲共同维权的名义骗取都某竹的信任,使用昵称为“DDX”微信号与都某竹联系,获取都某竹与吴某凡部分交往情况信息。7月10日,刘某迢利用获取的信息冒用都某竹名义与吴某凡律师联系,以双方达成和解为名索要300万元赔偿,并将自己和都某竹的银行账户一并发给吴某凡律师。同时,刘某迢使用“北京凡世文化传媒”微信号,自称系吴某凡律师,与都某竹协商达成300万元的和解赔偿,但双方未签署和解协议。
7月11日,吴某凡母亲分两次向都某竹账户转账50万元。此后,未得到钱款的刘某迢继续冒充都某竹,向吴某凡律师索要剩余250万元未遂。后又冒充吴某凡律师要求都某竹签署和解协议,否则索回50万元。都某竹同意退款后,刘某迢冒充吴某凡律师将本人的支付宝账号提供给都某竹,都某竹陆续向该账号转账18万元。
刘某迢被抓获后,对其诈骗犯罪事实供认不讳。目前,该人已被朝阳公安分局依法刑事拘留。
针对网民举报的“吴某凡多次诱骗年轻女性发生性关系”及近期网络互曝的有关行为,警方仍在调查中,将根据调查结果依法处理。
一、关于吴某凡与都某竹交往情况
2020年12月5日22时许,冯某(女,28岁,时任吴某凡执行经纪人)以挑选MV女主角面试为由,约都某竹(女,18岁)到吴某凡(男,30岁)家中参加聚会,10余人共同玩桌游并饮酒,次日凌晨至7时许,其他聚会人员陆续离开,都某竹酒后在吴某凡家中留宿,两人发生性关系。当日下午,都某竹在吴某凡家中用餐后自行离开,期间两人互相添加微信。12月8日,吴某凡给都某竹转账3.2万元用于网络购物。此后至2021年4月期间,两人保持微信联系。
二、关于都某竹等人发布网络信息情况
2021年6月,都某竹与好友刘某文(女,19岁)商议,在网上公开与吴某凡交往过程以提升网络知名度,遂由刘某文于6月2日以“刘美丽同学_”微博账号发布都某竹被吴某凡“冷暴力”的博文,7月8日至7月11日,都某竹跟进发布3篇博文。7月13日,网络写手徐某(男,31岁)为牟取利益,主动联系都某竹,经商议后,共同策划并由徐某撰写“决战”等10余篇微博文案,7月16日起由都某竹通过微博账号陆续发布。
三、关于犯罪嫌疑人刘某迢涉嫌诈骗犯罪的情况
2021年7月14日,朝阳警方接到吴某凡母亲吴某报警,称遭到都某竹敲诈勒索。当日警方依法进行了受理和调查,工作中锁定犯罪嫌疑人刘某迢(男,23岁),并于2021年7月18日在江苏省南通市将该人抓获。
经查,2021年6月,犯罪嫌疑人刘某迢看到都某竹和吴某凡的网络炒作信息后,遂产生冒充相关关系人对涉事双方进行诈骗的想法。期间,刘某迢虚构女性身份,以曾被吴某凡欺骗感情欲共同维权的名义骗取都某竹的信任,使用昵称为“DDX”微信号与都某竹联系,获取都某竹与吴某凡部分交往情况信息。7月10日,刘某迢利用获取的信息冒用都某竹名义与吴某凡律师联系,以双方达成和解为名索要300万元赔偿,并将自己和都某竹的银行账户一并发给吴某凡律师。同时,刘某迢使用“北京凡世文化传媒”微信号,自称系吴某凡律师,与都某竹协商达成300万元的和解赔偿,但双方未签署和解协议。
7月11日,吴某凡母亲分两次向都某竹账户转账50万元。此后,未得到钱款的刘某迢继续冒充都某竹,向吴某凡律师索要剩余250万元未遂。后又冒充吴某凡律师要求都某竹签署和解协议,否则索回50万元。都某竹同意退款后,刘某迢冒充吴某凡律师将本人的支付宝账号提供给都某竹,都某竹陆续向该账号转账18万元。
刘某迢被抓获后,对其诈骗犯罪事实供认不讳。目前,该人已被朝阳公安分局依法刑事拘留。
针对网民举报的“吴某凡多次诱骗年轻女性发生性关系”及近期网络互曝的有关行为,警方仍在调查中,将根据调查结果依法处理。