Rapid7披露了远程代码执行缺陷

Security公司Rapid7披露了OpenAPI规范或Swagge Code Generator的安全漏洞，用于NodeJS，PHP，Ruby和Java。

根据RAPID7研究人员，攻击者可以利用漏洞使远程执行远程执行，该研究人员已提出更改规范以修复漏洞。

研究人员还向美国提供了一项提议的技术工程研究所（SEI）的表机应急响应团队（CERT）的协调中心，并发布了Metasploit渗透测试框架的模块。

2016年1月，威尔摇摇晃晃的规范捐赠给开放的API倡议（OAI）和Openapi规范的基础，通常称为播放。

该漏洞披露符合RAPID7在初步尝试联系负责代码的人员后60天发布详细介绍漏洞的咨询的披露策略。

对于公司渴望为越来越需要的可扩展应用程序编程接口（API）部署和测试提供价值，使用可以轻松和Quickenthe开发，测试和可部署性的规范将具有高价值。

然而，RAPID7研究人员在以下这样的API文档/定义系统中表示，滥用了应考虑生成服务的工具和规范的信任。

根据研究人员的说法，恶意制作的Swagger文件可用于动态创建具有嵌入式任意代码的API客户端和服务器。

他们说，这是通过以下事实实现了一些解析器/生成器信任威格文档中的不充分消毒参数来生成代码库。

在客户端，存在在信任恶意摇摆文档到Compereany生成的代码基础上的漏洞，最常以动态生成的apiclient的形式。

在服务器端，在服务中消耗Swagger以动态生成和服务API客户端，服务器模拟UPS和测试规范的服务中存在漏洞。

RAPID7研究人员表示，对所有问题的缓解，包括在注射之前的正确逃逸参数，同时考虑到变量在内联代码创建中使用变量。

减轻还包括在适当的情况下，确保对API规范的信任的背景可以维护在已知的，易于可避单的情况下的远程代码执行的代码级别的代码。