YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目，使用mock数据/脚本作为中间交互层，为前端后台开发与测试人员提供更优雅的接口管理服务，该系统被国内较多知名互联网企业所采用。

近日，我应急团队监测到YAPI远程代码执行0day漏洞；由于用户使用时未按照安全的方式对YAPI进行配置，攻击者可以使用 YAPI 的 Mock 功能在受影响的服务器上执行任意 javascript 代码，导致攻击者接管并控制服务器；目前该漏洞暂无补丁，处于0day状态。

临时修复建议:

建议用户按照以下方式进行排查和修复

1、关闭 YAPI 用户注册功能

2、禁止 YAPI 所在服务器从外部网络访问

3、排查 YAPI 服务器是否存在恶意访问记录