Drupal 7.x < 7.102/10.2.x < 10.2.11/10.3.x < 10.3.9/11.x < 11.0.8 複数の脆弱性 (drupal-2024-11-20)

critical Nessus プラグイン ID 211656

Language:

概要

リモートの Web サーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートの Web サーバーで実行されている Drupal のインスタンスは、7.102 より前の 7.x、10.2.11 より前の 10.2.x、10.3.9 より前の 10.3.x、または 11.0.8 より前の 11.x です。したがって、複数の脆弱性の影響を受けます。

- Drupal Coreにおける信頼できないデータの逆シリアル化の脆弱性により、オブジェクトインジェクションが可能です。この問題は、7.102 より前の 7.0 以降、10.2.11 より前の 8.0.0 以降、10.3.9 より前の 10.3.0 以降の Drupal Core に影響します。(CVE-2024-55638)

- Drupal Core における信頼できないデータの逆シリアル化の脆弱性により、オブジェクトインジェクションが可能です。この問題は、10.2.11 より前の 8.0.0 以降、10.3.9 より前の 10.3.0 以降、11.0.8 より前の 11.0.0 以降の Drupal Core に影響します。
(CVE-2024-55636、CVE-2024-55637)

- Drupal Core のウェブページ生成中の不適切な入力中和 (XSS または「クロスサイトスクリプティング」) の脆弱性により、クロスサイトスクリプティング (XSS) が可能です。この問題は、7.102 より前の 7.0 以降の Drupal Core に影響します。
(CVE-2024-55635)

- Drupal Core の脆弱性により、権限昇格が可能です。この問題は、10.2.11 より前の 8.0.0 以降、10.3.9 より前の 10.3.0 以降、11.0.8 より前の 11.0.0 以降の Drupal Core に影響します。(CVE-2024-55634)

- Drupal Core のウェブページ生成中の不適切な入力中和 (XSS または「クロスサイトスクリプティング」) の脆弱性により、クロスサイトスクリプティング (XSS) が可能です。この問題は、10.2.11 より前の 8.8.0 以降、10.3.9 より前の 10.3.0 以降、11.0.8 より前の 11.0.0 以降の Drupal Core に影響します。(CVE-2024-12393)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。