Drupal 8.9.x < 8.9.20 / 9.1.x < 9.1.14 / 9.2.x < 9.2.9 の複数の脆弱性 (drupal-2021-11-17)

medium Nessus プラグイン ID 155559

Language:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 8.9.20 より前の 8.9.x、9.1.14 より前の 9.1.x、および 9.2.9 より前の 9.2.x です。したがって、複数の脆弱性の影響を受けます。

- CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンの Advanced Content Filter (ACF) モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式の HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0で利用可能です。(CVE-2021-41164)

- CKEditor4 はオープンソースの WYSIWYG HTML エディターです。影響を受けるバージョンのコア HTML 処理モジュールに脆弱性が発見されました。CKEditor 4 が使用するすべてのプラグインに影響を与える可能性があります。この脆弱性により、無効な形式のコメントの HTML が挿入されてコンテンツのサニタイズがバイパスされ、JavaScript コードが実行される可能性があります。バージョン < 4.17.0 の CKEditor 4 を使用しているすべてのユーザーに影響します。この問題は認識され、パッチが適用されました。この修正は、バージョン 4.17.0で利用可能です。(CVE-2021-41165)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。