Drupal 9.2.x < 9.2.18 / 9.3.x < 9.3.12 Multiple Vulnerabilities (drupal-2022-04-20)

high Nessus プラグイン ID 160024

言語:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.2.18 より前の 9.2.x、または 9.3.12 より前の 9.3.x です。したがって、複数の脆弱性の影響を受けます。

- Drupal 9.3 はエンティティリビジョン用の汎用エンティティアクセス API を実装しました。ただし、この API は既存の権限と完全に統合されていないため、通常はコンテンツのリビジョンを使用するアクセス権はあるものの、ノードおよびメディアコンテンツの個々のアイテムにはアクセス権のないユーザーに対して、アクセスバイパスが発生する可能性があります。この脆弱性の影響を受けるのは、Drupal のリビジョンシステムを使用しているサイトのみです。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2022-009)

- Drupal コアのフォーム API に脆弱性があり、特定のコントリビュートまたはカスタムモジュールのフォームが不適切な入力検証に対して脆弱である可能性があります。これにより、攻撃者が許可されていない値を注入したり、データを上書きしたりする可能性があります。影響を受けるフォームは一般的ではありませんが、特定の場合では、攻撃者が重要なデータや機密データを変更する可能性があります。コア自体の中で影響を受けるフォームはわかりませんが、コントリビュートされたフォームおよびカスタムプロジェクトフォームが影響を受ける可能性があります。この更新をインストールすると、これらのフォームが修正されます。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2022-008)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Drupal バージョン 9.2.18/ 9.3.12以降にアップグレードしてください。

関連情報

https://www.drupal.org/steward

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/sa-core-2022-009

https://www.drupal.org/project/drupal/releases/9.3.12

https://www.drupal.org/sa-core-2022-008

https://www.drupal.org/project/drupal/releases/9.2.18

プラグインの詳細

深刻度: High

ID: 160024

ファイル名: drupal_9_3_12.nasl

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2022/4/21

更新日: 2022/4/21

構成: パラノイドモードの有効化

脆弱性情報

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/4/20

脆弱性公開日: 2022/4/20