IBM安全公告，API Connect易受Drupal中任意代码执行和安全绕过的攻击

IBM安全公告，API Connect易受Drupal中任意代码执行和安全绕过的攻击

漏洞详情

1.CVE-2020-13664 CVSS评分：8.8 高

Drupal是使用PHP语言编写的开源内容管理框架（CMF），它由内容管理系统（CMS）和PHP开发框架（Framework）共同构成。

Drupal核心可能允许远程攻击者在系统上执行由代码注入漏洞引起的任意代码。通过诱使受害者访问特制网站，攻击者可以利用此漏洞在系统上执行任意PHP代码。

2.CVE-2020-13665 CVSS评分：4.8 中

Drupal可能允许远程攻击者绕过安全性限制，这是由于在处理JSON：API PATCH请求时对用户提供的输入的验证不足而造成的。通过发送特制请求，攻击者可以利用此漏洞绕过某些字段的验证。

受影响产品和版本

上述漏洞影响API Connect V10.0 以及 API Connect V2018.4.1.0-2018.4.1.13

解决方案

对于 API Connect V10.0：升级API Connect V10.0.1.0 可修复

对于 API Connect V2018.4.1.0-2018.4.1.11：升级API Connect V2018.4.1.133

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。