Swagger是一個(gè)規(guī)范且完整的框架，提供描述、生產(chǎn)、消費(fèi)和可視化RESTful Web Service，今年年初被重命名為OpenAPI。Swagger規(guī)格被廣泛的使用在Html、PHP、Java和 Ruby等流行語(yǔ)言開(kāi)發(fā)的應(yīng)用中，其最近被曝出遠(yuǎn)程代碼執(zhí)行漏洞，潛在影響到了Java、PHP、NodeJS和 Ruby等流行語(yǔ)言開(kāi)發(fā)的應(yīng)用。

據(jù)了解，這個(gè)漏洞的CVE編號(hào)為CVE-2016-5641。該漏洞屬于參數(shù)注入漏洞，能夠在Swagger JSON文件中嵌入惡意代碼。凡是使用Swagger API的應(yīng)用程序都會(huì)受到影響。但Rapid7社區(qū)的安全研究人員目前公開(kāi)了該漏洞的技術(shù)細(xì)節(jié)和修補(bǔ)方案（詳見(jiàn)參考鏈接）。

參考鏈接：Rapid7社區(qū)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。