各机关部门、教学院(部)、专职科研机构、学术传播机构:
重庆市网络与信息安全信息通报中心发布的《网络与信息安全情况通报》(2021年第30期)监测发现,YApi可视化接口管理平台存在远程代码执行漏洞,攻击者可利用该漏洞远程执行恶意代码,近期境外僵尸网络利用该漏洞对我境内部分服务器发起了网络攻击。经分析研判,该漏洞主要原因是YApi使用的沙箱存在RCE漏洞。YApi可视化接口管理平台是国内某网站开发的一个开源项目,可为软件开发、测试人员提供可视化接口管理服务,广泛应用于我国互联网企业,6月25日该网站已紧急修复该漏洞。
鉴于该漏洞影响范围较大、潜在危害程度较高,建议受影响用户在确保安全前提下,及时将YApi可视化接口管理平台升级至最新版本(https://github.com/YMFE/yapi)。同时,部署必要安全防护设备,提升恶意攻击行为发现和拦截能力,发现系统遭攻击情况及时处置并报告信息办。
信息化办公室
2021年7月13日