漏洞名:Drupal 7.X services模块远程代码执行漏洞
影响版本:Drupal 7.X
漏洞描述:Drupal的services模块是一种构建API的标准化解决方案,以便外部客户端可以与Drupal通信。它允许任何人构建SOAP,REST或XMLRPC,以便以多种输出格式发送和获取信息。它目前是Drupal的150个最常用插件之一,大约45000正在使用。模块的一个特点是可以通过更改Content-Type/Acceptheaders 来控制输入/输出格式,默认情况下允许输入php序列化的数据类型,由于服务端未充分过滤校验提交数据,导致攻击者可利用该漏洞实现远程代码执行
修复方案:目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://www.drupal.org/project/services
报告地址:https://www.ambionics.io/blog/drupal-services-module-rce