Drupal 9.4.x < 9.4.10 / 9.5.x < 9.5.2 / 10.0.x < 10.0.2 Drupal の脆弱性 (SA-CORE-2023-001)
high Nessus プラグイン ID 170730
Language:
概要
リモートの Web サーバーで実行されている PHP アプリケーションは、脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.4.10より前の 9.4.x、9.5.2 より前の 9.5.x、もしくは 10.0.2より前の 10.0.xです。したがって、脆弱性の影響を受けます。- 一部の状況で、Media Library モジュールがエンティティアクセスを適切にチェックしません。これにより、コンテンツの編集権限を持つユーザーが、アクセスが許可されていないメディアアイテムに関するメタデータを表示する可能性があります。この脆弱性は、アクセスできないメディアが、メディア参照フィールドを含むコンテンツをすでに編集できるユーザーにしか表示されないという事実によって緩和されます。このアドバイザリは Drupal Steward の対象ではありません。(SA-CORE-2023-001)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Drupalバージョン9.4.10/9.5.2/10.0.2以降にアップグレードしてください。参考資料
https://www.drupal.org/sa-core-2023-001
https://www.drupal.org/project/drupal/releases/10.0.2
https://www.drupal.org/project/drupal/releases/9.4.10
https://www.drupal.org/project/drupal/releases/9.5.2
プラグインの詳細
深刻度: High
ID: 170730
ファイル名: drupal_10_0_2.nasl
バージョン: 1.1
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/1/27
更新日: 2023/1/30
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/1/18
脆弱性公開日: 2023/1/18
参照情報
IAVA: 2023-A-0052-S