Drupal 7.x< 7.96/ 9.4.x< 9.4.14/ 9.5.x< 9.5.8/ 10.x< 10.0.8Drupalの脆弱性 (SA-CORE-2023-005)
high Nessus プラグイン ID 174488
Language:
概要
リモートの Web サーバーで実行されている PHP アプリケーションは、脆弱性の影響を受けます。説明
自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは、7.96より前の7.x、9.4.14より前の9.4.x、9.5.8より前の9.5.x、または10.0.8より前の10.xです。したがって、脆弱性の影響を受けます。- ファイルダウンロード機能が、特定の状況でのファイルパスのサニタイズが十分ではありません。これにより、ユーザーがアクセスすべきでないプライベートファイルにアクセスする可能性があります。一部のサイトでは、このセキュリティリリース後に構成の変更が必要になる場合があります。更新後にプライベートファイルへのアクセスに問題がある場合は、Drupal バージョンのリリースノートを確認してください。このアドバイザリは Drupal Steward の対象です。
この脆弱性は大規模に悪用できないため、Steward パートナーは、新しい WAF ルールを強制するのではなく、監視のみで対応する可能性があります。通常、この重要度のリリースには適用されません。ただし、この場合、プロセスをテストするために Drupal Steward セキュリティカバレッジを適用することを選択しました。Drupal 7 Windows Web サーバー上のすべての Drupal 7 サイトが脆弱です。Linux ウェブサーバーの Drupal 7 サイトは、特定のファイルディレクトリ構造であるか、脆弱なコントリビュートまたはカスタムのファイルアクセスモジュールがインストールされている場合に脆弱です。Drupal 9 および 10 の Drupal 9 および 10 サイトは、特定のコントリビュートまたはカスタムのファイルアクセスモジュールがインストールされている場合にのみ脆弱です。(SA-CORE-2023-005)
Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Drupalバージョン7.96/9.4.14/9.5.8/10.0.8以降にアップグレードしてください。参考資料
https://www.drupal.org/sa-core-2023-005
https://www.drupal.org/project/drupal/releases/10.0.8
https://www.drupal.org/project/drupal/releases/7.96
https://www.drupal.org/project/drupal/releases/9.4.14
https://www.drupal.org/project/drupal/releases/9.5.8
プラグインの詳細
深刻度: High
ID: 174488
ファイル名: drupal_10_0_8.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2023/4/20
更新日: 2023/5/2
設定: パラノイドモードの有効化, 徹底したチェックを有効にする (optional)
サポートされているセンサー: Nessus
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: Settings/ParanoidReport, installed_sw/Drupal
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/4/19
脆弱性公開日: 2023/4/19
参照情報
IAVA: 2023-A-0218-S