Drupal 9.2.x< 9.2.16/ 9.3.x< 9.3.9Drupal の脆弱性 (SA-CORE-2022-006)
high Nessus プラグイン ID 159145
Language:
概要
リモートのWebサーバーで実行されているPHPアプリケーションは、脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.2.16より前の 9.2.x、または 9.3.9より前の 9.3.xです。したがって、脆弱性の影響を受けます。- guzzlehttp/psr7 は PSR-7 HTTP メッセージライブラリです。1.8.4および 2.1.1より前のバージョンは、不適切なヘッダー解析に対して脆弱です。攻撃者が改行文字に忍び込ませ、信頼できない値を渡す可能性があります。この問題には、1.8.4 および 2.1.1でパッチが適用されています。現在、既知の回避策はありません。(CVE-2022-24775)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Drupal バージョン 9.2.16/ 9.3.9以降にアップグレードしてください。参考資料
https://www.drupal.org/sa-core-2022-006
https://github.com/guzzle/psr7/security/advisories/GHSA-q7rv-6hp3-vh96
https://www.drupal.org/node/1173280
https://www.drupal.org/project/drupal/releases/9.2.16
プラグインの詳細
深刻度: High
ID: 159145
ファイル名: drupal_9_3_9.nasl
バージョン: 1.4
タイプ: remote
ファミリー: CGI abuses
公開日: 2022/3/22
更新日: 2022/4/26
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2022-24775
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/3/21
脆弱性公開日: 2022/3/21
参照情報
CVE: CVE-2022-24775