Rapid7披露了远程代码执行缺陷

2021-06-30 12:46:12来源:

Security公司Rapid7披露了OpenAPI规范或Swagge Code Generator的安全漏洞,用于NodeJS,PHP,Ruby和Java。

根据RAPID7研究人员,攻击者可以利用漏洞使远程执行远程执行,该研究人员已提出更改规范以修复漏洞。

研究人员还向美国提供了一项提议的技术工程研究所(SEI)的表机应急响应团队(CERT)的协调中心,并发布了Metasploit渗透测试框架的模块。

2016年1月,威尔摇摇晃晃的规范捐赠给开放的API倡议(OAI)和Openapi规范的基础,通常称为播放。

该漏洞披露符合RAPID7在初步尝试联系负责代码的人员后60天发布详细介绍漏洞的咨询的披露策略。

对于公司渴望为越来越需要的可扩展应用程序编程接口(API)部署和测试提供价值,使用可以轻松和Quickenthe开发,测试和可部署性的规范将具有高价值。

然而,RAPID7研究人员在以下这样的API文档/定义系统中表示,滥用了应考虑生成服务的工具和规范的信任。

根据研究人员的说法,恶意制作的Swagger文件可用于动态创建具有嵌入式任意代码的API客户端和服务器。

他们说,这是通过以下事实实现了一些解析器/生成器信任威格文档中的不充分消毒参数来生成代码库。

在客户端,存在在信任恶意摇摆文档到Compereany生成的代码基础上的漏洞,最常以动态生成的apiclient的形式。

在服务器端,在服务中消耗Swagger以动态生成和服务API客户端,服务器模拟UPS和测试规范的服务中存在漏洞。

RAPID7研究人员表示,对所有问题的缓解,包括在注射之前的正确逃逸参数,同时考虑到变量在内联代码创建中使用变量。

减轻还包括在适当的情况下,确保对API规范的信任的背景可以维护在已知的,易于可避单的情况下的远程代码执行的代码级别的代码。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章