Drupal 8.7.x < 8.7.12/8.8.x < 8.8.4 Drupalの脆弱性（SA-CORE-2020-001）（drupal-2020-03-18）

medium Nessus プラグイン ID 134702

Language:

概要

リモートのWebサーバーで実行されているPHPアプリケーションは、脆弱性の影響を受けます。

説明

自己報告されたバージョン番号によると、リモートのWebサーバーで実行されているDrupalのインスタンスのバージョンは、8.7.12より前の8.7.xまたは8.8.4より前の8.8.xです。したがって、脆弱性による影響を受けます。- Drupalプロジェクトは、サードパーティライブラリCKEditorを使用します。CKEditorは、一部のDrupal構成を保護するために必要なセキュリティの向上を行いました。DrupalがサイトユーザーのためにWYSIWYG CKEditorを使用するよう構成されている場合、脆弱性がある可能性があります。複数の人がコンテンツを編集できる場合、この脆弱性が利用されて、アクセス権がより強いサイト管理者を含む他の人にXSS攻撃が実行される可能性があります。Drupalの最新バージョンでは、CKEditorを4.14に更新して、脆弱性を緩和しています。（SA-CORE-2020-001）Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。