发布日期：2016-06-30
更新日期：2016-07-04

受影响系统：

Swagger Swagger

描述：

---

CVE(CAN) ID: CVE-2016-5641

Swagger是广泛使用的开源RESTful API框架。Swagger Code Generator包含一个模板驱动引擎，可以多种语言基于Swagger Resource Declaration生成客户端代码。

Swagger Code Generator在JSON或YAML文件中存在可注入的参数，可导致远程代码执行。此漏洞影响 NodeJS, PHP, Ruby, Java等其他语言。其他代码生成工具也可能受到参数注入的影响。

<*来源：Scott Davis
  
  链接：https://community.rapid7.com/community/infosec/blog/2016/06/23/r7-2016-06-remote-code-execution-via-swagger-parameter-injection-cve-2016-5641
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

建议用户关注Swagger的相关信息，在未修复漏洞前仔细检查Swagger各类语言的转义字符。

厂商补丁：

Swagger
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://swagger.io/

浏览次数：1926
严重程度：0（网友投票）