API Connect是IBM公司一個完整、現代化、直觀且可擴展的API平臺，能夠在云端創建、安全地公開、管理和API并通過API獲利，能夠幫助客戶為數字應用提供動力并促進創新。11月23日，IBM發布了安全公告，API Connect容易受到Drupal中任意代碼執行和安全繞過的攻擊。以下是漏洞詳情：

漏洞詳情

來源：https://www.ibm.com/support/pages/node/6240310

1.CVE-2020-13664 CVSS評分：8.8 高

Drupal是使用PHP語言編寫的開源內容管理框架（CMF），它由內容管理系統（CMS）和PHP開發框架（Framework）共同構成。

Drupal核心可能允許遠程攻擊者在系統上執行由代碼注入漏洞引起的任意代碼。通過誘使受害者訪問特制網站，攻擊者可以利用此漏洞在系統上執行任意PHP代碼。

2.CVE-2020-13665 CVSS評分：4.8 中

Drupal可能允許遠程攻擊者繞過安全性限制，這是由于在處理JSON：API PATCH請求時對用戶提供的輸入的驗證不足而造成的。通過發送特制請求，攻擊者可以利用此漏洞繞過某些字段的驗證。

受影響產品和版本

上述漏洞影響API Connect V10.0 以及 API Connect V2018.4.1.0-2018.4.1.13

解決方案

對于 API Connect V10.0：升級API Connect V10.0.1.0 可修復

對于 API Connect V2018.4.1.0-2018.4.1.11：升級API Connect V2018.4.1.133

責任編輯：PSY