FreeBSD: drupal9 -- 複数の脆弱性 (03bb8373-2026-11ed-9d70-080027240888)

medium Nessus プラグイン ID 164316

言語:

概要

リモートの FreeBSD ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、03bb8373-2026-11ed-9d70-080027240888 のアドバイザリに記載されている脆弱性の影響を受けます。

 - CKEditor 5 は JavaScript リッチテキストエディターです。35.0.1 より前のバージョンの 3 つのオプションの CKEditor 5 のパッケージに影響を与えるクロスサイトスクリプティングの脆弱性が発見されました。この脆弱性により、特別な条件を満たした後に JavaScript コードがトリガーされる可能性があります。影響を受けるパッケージは、「@ckeditor/ckeditor5-markdown-gfm」、「@ckeditor/ckeditor5-html-support」、および「@ckeditor/ckeditor5-html-embed」です。特定の条件は次のとおりです。1) 影響を受けるパッケージの 1 つを使用。「ckeditor5-html-support」および「ckeditor5-html-embed」の場合、エディター内で安全でないマークアップを許可する構成を使用する必要がありました。2) エディターインスタンスの破棄、および 3) 要素でのエディターの初期化、および「<textarea>」以外の要素をベースとして使用。この問題の根本的な原因は、エディターを破壊した後、CKEditor 5 データパイプラインからのマークアップでソース要素を更新するメカニズムでした。この脆弱性は、動的エディターの初期化 / 破棄に依存し、Markdown、General HTML Support または HTML embed 機能を使用するインテグレーターのごく一部に影響を与える可能性があります。この問題は認識され、パッチが適用されました。この修正は、バージョン 35.0.1 で利用できます。この問題についての既知の回避策はありません。(CVE-2022-31175)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://www.drupal.org/project/drupal/releases/9.4.5

http://www.nessus.org/u?4368205a

プラグインの詳細

深刻度: Medium

ID: 164316

ファイル名: freebsd_pkg_03bb8373202611ed9d70080027240888.nasl

バージョン: 1.3

タイプ: local

公開日: 2022/8/20

更新日: 2022/12/6

リスク情報

VPR

リスクファクター: Low

スコア: 3.8

CVSS v2

リスクファクター: Medium

Base Score: 4

Temporal Score: 3

ベクトル: AV:N/AC:H/Au:N/C:P/I:P/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2022-31175

CVSS v3

リスクファクター: Medium

Base Score: 4.7

Temporal Score: 4.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:drupal9, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/8/20

脆弱性公開日: 2022/8/3

参照情報

CVE: CVE-2022-31175