Drupal 7.x< 7.96/ 9.4.x< 9.4.14/ 9.5.x< 9.5.8/ 10.x< 10.0.8Drupalの脆弱性 (SA-CORE-2023-005)
medium Nessus プラグイン ID 174488
Language:
概要
リモートのウェブサーバーで実行されている PHP アプリケーションは、脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートのウェブサーバーで実行されている Drupal のインスタンスは、7.96 より前の 7.x、9.4.14 より前の 9.4.x、9.5.8 より前の 9.5.x、または 10.0.8 より前の 10.x です。したがって、脆弱性の影響を受けます。- ファイルダウンロード機能が、特定の状況でのファイルパスのサニタイズが十分ではありません。これにより、ユーザーがアクセスすべきでないプライベートファイルにアクセスする可能性があります。一部のサイトでは、このセキュリティリリース後に構成の変更が必要になる場合があります。更新後にプライベートファイルへのアクセスに問題がある場合は、Drupal バージョンのリリースノートを確認してください。このアドバイザリは Drupal Steward の対象です。
この脆弱性は大規模に悪用できないため、Steward パートナーは、新しい WAF ルールを強制するのではなく、監視のみで対応する可能性があります。通常、この重要度のリリースには適用されません。ただし、この場合、プロセスをテストするために Drupal Steward セキュリティカバレッジを適用することを選択しました。Drupal 7 Windows Web サーバー上のすべての Drupal 7 サイトが脆弱です。Linux ウェブサーバーの Drupal 7 サイトは、特定のファイルディレクトリ構造であるか、脆弱なコントリビュートまたはカスタムのファイルアクセスモジュールがインストールされている場合に脆弱です。Drupal 9 および 10 の Drupal 9 および 10 サイトは、特定のコントリビュートまたはカスタムのファイルアクセスモジュールがインストールされている場合にのみ脆弱です。(SA-CORE-2023-005)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Drupal バージョン 7.96/9.4.14/9.5.8/10.0.8 以降にアップグレードしてください。参考資料
https://www.drupal.org/sa-core-2023-005
https://www.drupal.org/project/drupal/releases/10.0.8
https://www.drupal.org/project/drupal/releases/7.96
https://www.drupal.org/project/drupal/releases/9.4.14
https://www.drupal.org/project/drupal/releases/9.5.8
プラグインの詳細
深刻度: Medium
ID: 174488
ファイル名: drupal_10_0_8.nasl
バージョン: 1.3
タイプ: Remote
ファミリー: CGI abuses
公開日: 2023/4/20
更新日: 2026/3/18
設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS スコアのソース: CVE-2023-31250
CVSS v3
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/4/19
脆弱性公開日: 2023/4/19
参照情報
CVE: CVE-2023-31250
IAVA: 2023-A-0218-S