IBM安全公告，API Connect易受Drupal中任意代码执行和安全绕过的攻击

API Connect是IBM公司一个完整、现代化、直观且可扩展的API平台，能够在云端创建、安全地公开、管理和API并通过API获利，能够帮助客户为数字应用提供动力并促进创新。11月23日，IBM发布了安全公告，API Connect容易受到Drupal中任意代码执行和安全绕过的攻击。以下是漏洞详情：

漏洞详情

来源：https://www.ibm.com/support/pages/node/6240310

1.CVE-2020-13664 CVSS评分：8.8 高

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

Drupal核心可能允许远程攻击者在系统上执行由代码注入漏洞引起的任意代码。通过诱使受害者访问特制网站，攻击者可以利用此漏洞在系统上执行任意PHP代码。

2.CVE-2020-13665 CVSS评分：4.8 中

Drupal可能允许远程攻击者绕过安全性限制，这是由于在处理JSON：API PATCH请求时对用户提供的输入的验证不足而造成的。通过发送特制请求，攻击者可以利用此漏洞绕过某些字段的验证。

受影响产品和版本

上述漏洞影响API Connect V10.0 以及 API Connect V2018.4.1.0-2018.4.1.13

解决方案

对于 API Connect V10.0：升级API Connect V10.0.1.0 可修复

对于 API Connect V2018.4.1.0-2018.4.1.11：升级API Connect V2018.4.1.133

责任编辑：PSY