大工网安告[2021]020号

一、情况分析

监测发现，YApi可视化接口管理平台存在远程代码执行漏洞，攻击者可利用该漏洞远程执行恶意代码。经研判分析，该漏洞主要原因是YApi使用的沙箱存在RCE漏洞。YApi可视化接口管理平台是国内某网站开发的一个开源项目，可为软件开发、测试人员提供可视化接口管理服务，广泛应用于我国互联网企业，6月25日该网站已紧急修复该漏洞。

二、处置建议

鉴于该漏洞影响范围较大、潜在危害程度较高，请校内各单位师生高度重视，排查该平台使用情况。如有使用请及时告知学校网络与信息化中心。

在确保安全的前提下，及时将YApi可视化接口管理平台升级至最新版本（)。

同时要加强安全防护和安全监测，一旦发生网络攻击事件，要迅速处置并报告学校网络与信息化中心。

三、联系方式

网络与信息化中心网络安全部，联系电话：84709126，邮箱：security@