【漏洞预警】Drupal 7.X services模块远程代码执行漏洞

漏洞名：Drupal 7.X services模块远程代码执行漏洞

影响版本：Drupal 7.X

漏洞描述：Drupal的services模块是一种构建API的标准化解决方案，以便外部客户端可以与Drupal通信。它允许任何人构建SOAP，REST或XMLRPC，以便以多种输出格式发送和获取信息。它目前是Drupal的150个最常用插件之一，大约45000正在使用。模块的一个特点是可以通过更改Content-Type/Acceptheaders 来控制输入/输出格式，默认情况下允许输入php序列化的数据类型，由于服务端未充分过滤校验提交数据，导致攻击者可利用该漏洞实现远程代码执行

修复方案：目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://www.drupal.org/project/services

报告地址：https://www.ambionics.io/blog/drupal-services-module-rce