自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは、7.74より前の7.x、8.8.11より前の8.x、8.9.9より前の8.9.x、または9.0.8より前の9.0.xです。したがって、ファイル名をサニタイズできないため、ファイルアップロード機能にあるリモートコード実行脆弱性の影響を受けます。認証されたリモートの攻撃者がこれを悪用し、特定のホスティング設定の下で任意のphpコードを実行する可能性があります。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Drupal 7.x < 7.74 / 8.x < 8.8.11 / 8.9.x < 8.9.9 / 9.0.x < 9.0.8 RCE（SA-CORE-2020-012）

high Nessus プラグイン ID 143126

バージョン 1.7