Drupal 8.9.x < 8.9.16 / 9.x < 9.0.14 / 9.1.x < 9.1.9 Drupalの脆弱性(SA-CORE-2021-003)
high Nessus プラグイン ID 149999
Language:
概要
リモートのWebサーバーで実行されているPHPアプリケーションは、脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは8.9.16より前の8.9.x、9.0.14より前の9.x、9.1.9より前の9.1.xです。したがって、脆弱性の影響を受けます。Drupalコアは、サードパーティのCKEditorライブラリを使用します。このライブラリには、HTMLの解析にエラーがあり、XSS攻撃を引き起こす可能性があります。CKEditor 4.16.1 以降には修正が含まれています。Drupalコア以外の手段によるCKEditorライブラリのユーザーは、サードパーティのコード(例:Drupal 7用のWYSIWYGモジュール)を更新する必要があります。Drupalセキュリティチームのポリシーでは、サードパーティのライブラリがDrupalコアと共に出荷されている場合を除き、サードパーティのライブラリに影響する問題を警告しません。詳細については、DRUPAL-SA-PSA-2016-004を参照してください。この問題は、CKEditorが有効になっているサイトにのみ影響を与えるため、緩和されています。(SA-CORE-2021-003)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Drupalバージョン8.9.16/9.0.14/9.1.9以降にアップグレードしてください。参考資料
https://www.drupal.org/sa-core-2021-003
https://www.drupal.org/project/drupal/releases/8.9.16
https://www.drupal.org/project/drupal/releases/9.0.14
プラグインの詳細
深刻度: High
ID: 149999
ファイル名: drupal_9_1_9.nasl
バージョン: 1.3
タイプ: remote
ファミリー: CGI abuses
公開日: 2021/5/27
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2021/5/26
脆弱性公開日: 2021/5/26