Drupal 7.x < 7.66/8.5.x < 8.5.15/8.6.x < 8.6.15の複数の脆弱性（drupal-2019-04-17）

critical Nessus プラグイン ID 124176

Language:

概要

リモートのWebサーバーで実行されているPHPアプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは7.66より前の7.x、8.5.15より前の8.5.x、8.6.15より前の8.6.xです。したがって、複数の脆弱性による影響を受けます。- jQueryプロジェクトはバージョン3.4.0をリリースし、その一部として、以前のすべてのバージョンが影響を受けるセキュリティの脆弱性を公開しました。リリースノートに記載されているように、jQuery 3.4.0には、jQuery.extend（true、{}、...）を使用するときの意図しない動作の修正が含まれています。サニタイズされていないソースオブジェクトに列挙可能な__proto__プロパティが含まれている場合は、ネイティブのObject.prototypeを拡張できる可能性があります。この修正はjQuery 3.4.0に含まれていますが、以前のjQueryバージョンのパッチを適用するためのパッチ差分があります。この脆弱性が一部のDrupalモジュールによって悪用される可能性があります。念のため、このDrupalセキュリティリリースでは、Drupalコア（Drupal 8の場合は3.2.1、Drupal 7の場合は1.4.4）に含まれているjQueryのバージョンに変更を加えたり、jQuery Updateなどの他のモジュールを介してサイトで実行したりせずに、jQuery.extend()の修正をバックポートしています。（SA-CORE-2019-006）- このセキュリティリリースでは、Drupalコアに含まれる、またはDrupalコアで必要なサードパーティの依存関係を修正しています。CVE-2019-10909：PHPテンプレートエンジンの検証メッセージを回避します。そのアドバイザリから：PHPテンプレートエンジンのフォームテーマを使用するときに検証メッセージが回避されませんでした。検証メッセージにユーザー入力が含まれていると、XSSを引き起こす可能性があります。CVE-2019-10910：サービスIDのチェックが有効になります。そのアドバイザリから：フィルタリングされていないユーザー入力から派生したサービスIDは、任意のコードの実行を引き起こし、リモートでコードが実行される可能性があります。CVE-2019-10911：「remember me」Cookieのハッシュにセパレーターを追加します。そのアドバイザリから：これにより、Cookieの有効期限の一部をユーザー名の一部と見なしたり、ユーザー名の一部を有効期限の一部と見なしたりする可能性のある状況が修正されます。攻撃者が、「remember me」Cookieを変更し、別のユーザーとして認証させる可能性があります。この攻撃は、「remember me」機能が有効になっていて、2人のユーザーが1つのパスワードハッシュを共有しているか、すべてのユーザーに対してパスワードハッシュ（例：UserInterface::getPassword()）がnullになっている場合にのみ可能です（パスワードがSSOなどの外部システムによってチェックされている場合に有効になります）。（CVE-2019-10909、CVE-2019-10910、CVE-2019-10911）注：Nessusはこの問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。