Drupal 7.0.x < 7.70/7.0.x < 7.70/8.7.x < 8.7.14/8.8.x < 8.8.6 複数の脆弱性 (drupal-2020-05-20)

medium Nessus プラグイン ID 136745

Language:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは、7.70 より前の 7.0.x、7.70 より前の 7.0.x、8.7.14 より前の 8.7.x、または 8.8.6 より前の 8.8.x です。したがって、複数の脆弱性の影響を受けます。

- 1.2 以降 3.5.0 より前のバージョンの jQuery では、信頼できないソースからの HTML を jQuery の DOM 操作メソッドの 1 つ (.html()、.append() など) に渡すと、HTML がサニタイズされた後でも、信頼できないコードが実行されることがあります。jQuery 3.5.0でこの問題に対するパッチが適用されています。(CVE-2020-11022)

- 1.0.3 以降 3.5.0 より前のバージョンの jQuery では、信頼できないソースからの要素を含む HTML を jQuery の DOM 操作メソッドの 1 つ（.html()、.append() など）にを渡すと、HTML がサニタイズされた後でも、信頼できないコードが実行されることがあります。jQuery 3.5.0でこの問題に対するパッチが適用されています。(CVE-2020-11023)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。