YApi 是一个支持本地部署的可视化接口管理平台。YApi 在1.12.0之前的版本(目前所有版本)中由于 base.js 没有正确对token参数进行正确过滤,导致存在远程代码执行漏洞。攻击者可通过MongoDB注入获取用户 token,其中包括用户ID、项目ID等参数。yapi后台的pre-request和pre-response方法存在缺陷点,通过注入调用自动化测试接口...
# YApi NoSQL注入导致远程命令执行漏洞 YApi是一个API管理工具。在其1.12.0版本之前,存在一处NoSQL注入漏洞,通过该漏洞攻击者可以窃取项目Token,并利用这个Token执行任意Mock脚本,获取服务器权限。 参考链接: - https://github.com/YMFE/yapi/commit/59bade3a8a43e7db077d38a4b0c7c584f30ddf8c ## 漏洞环境 ...