Swagger参数注入远程代码执行漏洞(CVE-2016-5641)
发布日期:2016-06-30
更新日期:2016-07-04
受影响系统:
描述:
CVE(CAN) ID: CVE-2016-5641
Swagger是广泛使用的开源RESTful API框架。Swagger Code Generator包含一个模板驱动引擎,可以多种语言基于Swagger Resource Declaration生成客户端代码。
Swagger Code Generator在JSON或YAML文件中存在可注入的参数,可导致远程代码执行。此漏洞影响 NodeJS, PHP, Ruby, Java等其他语言。其他代码生成工具也可能受到参数注入的影响。
<*来源:Scott Davis
链接:https://community.rapid7.com/community/infosec/blog/2016/06/23/r7-2016-06-remote-code-execution-via-swagger-parameter-injection-cve-2016-5641
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
建议用户关注Swagger的相关信息,在未修复漏洞前仔细检查Swagger各类语言的转义字符。
厂商补丁:
Swagger
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: