Rapid7披露了远程代码执行缺陷
Security公司Rapid7披露了OpenAPI规范或Swagge Code Generator的安全漏洞,用于NodeJS,PHP,Ruby和Java。
根据RAPID7研究人员,攻击者可以利用漏洞使远程执行远程执行,该研究人员已提出更改规范以修复漏洞。
研究人员还向美国提供了一项提议的技术工程研究所(SEI)的表机应急响应团队(CERT)的协调中心,并发布了Metasploit渗透测试框架的模块。
2016年1月,威尔摇摇晃晃的规范捐赠给开放的API倡议(OAI)和Openapi规范的基础,通常称为播放。
该漏洞披露符合RAPID7在初步尝试联系负责代码的人员后60天发布详细介绍漏洞的咨询的披露策略。
对于公司渴望为越来越需要的可扩展应用程序编程接口(API)部署和测试提供价值,使用可以轻松和Quickenthe开发,测试和可部署性的规范将具有高价值。
然而,RAPID7研究人员在以下这样的API文档/定义系统中表示,滥用了应考虑生成服务的工具和规范的信任。
根据研究人员的说法,恶意制作的Swagger文件可用于动态创建具有嵌入式任意代码的API客户端和服务器。
他们说,这是通过以下事实实现了一些解析器/生成器信任威格文档中的不充分消毒参数来生成代码库。
在客户端,存在在信任恶意摇摆文档到Compereany生成的代码基础上的漏洞,最常以动态生成的apiclient的形式。
在服务器端,在服务中消耗Swagger以动态生成和服务API客户端,服务器模拟UPS和测试规范的服务中存在漏洞。
RAPID7研究人员表示,对所有问题的缓解,包括在注射之前的正确逃逸参数,同时考虑到变量在内联代码创建中使用变量。
减轻还包括在适当的情况下,确保对API规范的信任的背景可以维护在已知的,易于可避单的情况下的远程代码执行的代码级别的代码。