Drupal 9.4.x < 9.4.10 / 9.5.x < 9.5.2 / 10.0.x < 10.0.2 Drupal の脆弱性 (SA-CORE-2023-001) (廃止予定)
high Nessus プラグイン ID 170156
言語:
概要
このプラグインは廃止されました。説明
自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.4.10より前の 9.4.x、9.5.2 より前の 9.5.x、もしくは 10.0.2より前の 10.0.xです。したがって、脆弱性の影響を受けます。- 一部の状況で、Media Library モジュールがエンティティアクセスを適切にチェックしません。これにより、コンテンツの編集権限を持つユーザーが、アクセスが許可されていないメディアアイテムに関するメタデータを表示する可能性があります。この脆弱性は、アクセスできないメディアが、メディア参照フィールドを含むコンテンツをすでに編集できるユーザーにしか表示されないという事実によって緩和されます。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2023-001)
Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
このプラグインは廃止され、drupal_10_0_2.nasl (プラグイン ID 170730) に置き換えられました。
関連情報
https://www.drupal.org/steward
https://www.drupal.org/psa-2021-06-29
https://www.drupal.org/sa-core-2023-001
https://www.drupal.org/project/drupal/releases/10.0.2
プラグインの詳細
深刻度: High
ID: 170156
ファイル名: drupal_9_5_2.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/1/19
更新日: 2023/1/27
構成: パラノイドモードの有効化, 徹底的なチェックを有効にする
脆弱性情報
CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/1/18
脆弱性公開日: 2023/1/18