IBM安全公告，API Connect易受Drupal中任意代碼執(zhí)行和安全繞過(guò)的攻擊

API Connect是IBM公司一個(gè)完整、現(xiàn)代化、直觀且可擴(kuò)展的API平臺(tái)，能夠在云端創(chuàng)建、安全地公開、管理和API并通過(guò)API獲利，能夠幫助客戶為數(shù)字應(yīng)用提供動(dòng)力并促進(jìn)創(chuàng)新。11月23日，IBM發(fā)布了安全公告，API Connect容易受到Drupal中任意代碼執(zhí)行和安全繞過(guò)的攻擊。以下是漏洞詳情：

漏洞詳情

來(lái)源：https://www.ibm.com/support/pages/node/6240310

1.CVE-2020-13664 CVSS評(píng)分：8.8 高

Drupal是使用PHP語(yǔ)言編寫的開源內(nèi)容管理框架（CMF），它由內(nèi)容管理系統(tǒng)（CMS）和PHP開發(fā)框架（Framework）共同構(gòu)成。

Drupal核心可能允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行由代碼注入漏洞引起的任意代碼。通過(guò)誘使受害者訪問(wèn)特制網(wǎng)站，攻擊者可以利用此漏洞在系統(tǒng)上執(zhí)行任意PHP代碼。

2.CVE-2020-13665 CVSS評(píng)分：4.8 中

Drupal可能允許遠(yuǎn)程攻擊者繞過(guò)安全性限制，這是由于在處理JSON：API PATCH請(qǐng)求時(shí)對(duì)用戶提供的輸入的驗(yàn)證不足而造成的。通過(guò)發(fā)送特制請(qǐng)求，攻擊者可以利用此漏洞繞過(guò)某些字段的驗(yàn)證。

受影響產(chǎn)品和版本

上述漏洞影響API Connect V10.0 以及 API Connect V2018.4.1.0-2018.4.1.13

解決方案

對(duì)于 API Connect V10.0：升級(jí)API Connect V10.0.1.0 可修復(fù)

對(duì)于 API Connect V2018.4.1.0-2018.4.1.11：升級(jí)API Connect V2018.4.1.133

責(zé)任編輯：PSY