検出

Drupal 9.5.x < 9.5.11 / 10.x < 10.0.11 / 10.1.x < 10.1.4 Drupal の脆弱性 (SA-CORE-2023-006)

high Nessus プラグイン ID 181691

Language:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは 9.5.11 より前の 9.5.x、10.0.11 より前の 10.x、10.1.4 より前の 10.1.x です。したがって、脆弱性の影響を受けます。

 - 特定のシナリオでは、Drupal の JSON: API モジュールがエラーバックトレースを出力します。一部の設定では、これにより機密情報がキャッシュされ、匿名ユーザーが利用可能になり、権限昇格を引き起こす可能性があります。この脆弱性は、JSON: API モジュールが有効になっているサイトにのみ影響し、JSON: API をアンインストールすることで軽減できます。コア REST および提供された GraphQL モジュールは影響を受けません。Drupal Steward パートナーはこの問題を認識しています。一部のプラットフォームでは軽減策が提供される場合があります。ただし、すべての WAF 設定でこの問題を緩和できるわけではないため、サイトで JSON: API を使用する場合は、このセキュリティリリースに速やかに更新することをお勧めします。(SA-CORE-2023-006)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Drupal バージョン9.5.11/10.0.11/10.1.4 以降にアップグレードしてください。

参考資料

https://www.drupal.org/sa-core-2023-006

https://www.drupal.org/project/drupal/releases/10.0.11

https://www.drupal.org/project/drupal/releases/10.1.4

https://www.drupal.org/project/drupal/releases/9.5.11

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/steward

プラグインの詳細

深刻度: High

ID: 181691

ファイル名: drupal_10_1_4.nasl

バージョン: 1.4

タイプ: remote

ファミリー: CGI abuses

公開日: 2023/9/20

更新日: 2023/10/6

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.1

現状値: 5.3

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-5256

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:drupal:drupal

必要な KB アイテム: installed_sw/Drupal, Settings/ParanoidReport

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2023/9/20

脆弱性公開日: 2023/9/20

参照情報

CVE: CVE-2023-5256

IAVA: 2023-A-0505-S