API Connect是IBM公司提供的一个全面、现代且用户友好的API平台,旨在云端创建、公开、安全管理API并通过其实现盈利。这一平台帮助客户推动数字应用的开发与创新。根据IBM在11月23日发布的安全公告,API Connect存在易受攻击的情况,可能遭遇来自Drupal的任意代码执行及安全绕过攻击。以下是漏洞的具体信息:
漏洞详情
1. CVE-2020-13664 CVSS评分:8.8(高)
Drupal是一个基于PHP构建的开源内容管理框架(CMF),其由内容管理系统(CMS)与PHP开发框架(FRaMewoRk)组成。
该框架的核心部分可能允许远程攻击者利用代码注入漏洞在系统中执行任意代码。攻击者可以通过诱导受害者访问特制的网站,进而在系统上执行任意PHP代码。
2. CVE-2020-13665 CVSS评分:4.8(中)
Drupal的一个特性可能使远程攻击者能够绕过安全限制,原因在于对用户输入的验证不足,尤其是在处理JSON:API PATCH请求时。攻击者可以通过发送特定请求来绕过某些字段的验证。
受影响产品和版本
上述漏洞影响的版本包括API Connect V10.0以及API Connect V2018.4.1.0至V2018.4.1.13。
解决方案
对于API Connect V10.0:请升级至API Connect V10.0.1.0以修复该漏洞。
对于API Connect V2018.4.1.0至V2018.4.1.11:请升级至API Connect V2018.4.1.133。
