Swagger参数注入远程代码执行漏洞(CVE-2016-5641)

Swagger参数注入远程代码执行漏洞(CVE-2016-5641)


发布日期:2016-06-30
更新日期:2016-07-04

受影响系统:

Swagger Swagger

描述:


CVE(CAN) ID: CVE-2016-5641

Swagger是广泛使用的开源RESTful API框架。Swagger Code Generator包含一个模板驱动引擎,可以多种语言基于Swagger Resource Declaration生成客户端代码。

Swagger Code Generator在JSON或YAML文件中存在可注入的参数,可导致远程代码执行。此漏洞影响 NodeJS, PHP, Ruby, Java等其他语言。其他代码生成工具也可能受到参数注入的影响。

<*来源:Scott Davis
 
  链接:https://community.rapid7.com/community/infosec/blog/2016/06/23/r7-2016-06-remote-code-execution-via-swagger-parameter-injection-cve-2016-5641
*>

建议:


临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

建议用户关注Swagger的相关信息,在未修复漏洞前仔细检查Swagger各类语言的转义字符。

厂商补丁:

Swagger
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://swagger.io/

相关推荐