Drupal 9.2.x < 9.2.18 / 9.3.x < 9.3.12 の複数の脆弱性 (drupal-2022-04-20)

high Nessus プラグイン ID 160024

Language:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.2.18 より前の 9.2.x、または 9.3.12 より前の 9.3.x です。したがって、複数の脆弱性の影響を受けます。

- Drupal 9.3 はエンティティリビジョン用の汎用エンティティアクセス API を実装しました。ただし、この API は既存の権限と完全に統合されていないため、通常はコンテンツのリビジョンを使用するアクセス権はあるものの、ノードおよびメディアコンテンツの個々のアイテムにはアクセス権のないユーザーに対して、アクセスバイパスが発生する可能性があります。この脆弱性の影響を受けるのは、Drupal のリビジョンシステムを使用しているサイトのみです。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2022-009)

- Drupal コアのフォーム API に脆弱性があり、特定のコントリビュートまたはカスタムモジュールのフォームが不適切な入力検証に対して脆弱である可能性があります。これにより、攻撃者が許可されていない値を注入したり、データを上書きしたりする可能性があります。影響を受けるフォームは一般的ではありませんが、特定の場合では、攻撃者が重要なデータや機密データを変更する可能性があります。コア自体の中で影響を受けるフォームはわかりませんが、コントリビュートされたフォームおよびカスタムプロジェクトフォームが影響を受ける可能性があります。この更新をインストールすると、これらのフォームが修正されます。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2022-008)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。