Drupal 10.3.x < 10.3.13 / 10.3.x < 10.3.13 / 10.4.x < 10.4.3 / 10.4.x < 10.4.3 / 11.x < 11.0.12 / 11.x < 11.0.12 / 11.1.x < 11.1.3 / 11.1.x < 11.1.3 複数の脆弱性 (drupal-2025-02-19)

high Nessus プラグイン ID 216497

Language:

概要

リモートのウェブサーバーで実行されている PHP アプリケーションは、複数の脆弱性の影響を受けます。

説明

自己報告されたバージョンによると、リモートのウェブサーバーで実行されている Drupal のインスタンスは、10.3.13 より前の 10.3.x、10.3.13 より前の 10.3.x、10.4.3 より前の 10.4.x、10.4.3 より前の 10.4.x、11.0.12 より前の 11.x、11.0.12 より前の 11.x、11.1.3 より前の 11.1.x、または 11.1.3 より前の 11.1.x です。したがって、複数の脆弱性の影響を受けます。

- Drupal コアには、潜在的な PHP オブジェクトインジェクションの脆弱性が含まれており、(他のエクスプロイトと組み合わせた場合) 任意ファイルのインクルージョンを引き起こす可能性があります。この攻撃をリモートコードの実行に昇格するための手法があります。この問題は、直接悪用されません。悪用されるためには、攻撃者が安全でない入力を unserialize() に渡すことができる個別の脆弱性が存在する必要があるという事実により、この問題が緩和されています。Drupal コアには、そのような既知のエクスプロイトはありません。(SA-CORE-2025-003)

- 一括操作により、認証されたユーザーは、コンテンツページ (/admin/content) から複数のノードを一度に変更できます。サイトビルダーは、ビューを使用して他のページに一括操作を追加することもできます。コアアクションシステムのバグにより、一部のユーザーが、個別のノードで変更するアクセス許可がない一括アクションを使用して、一部のフィールドを変更する可能性があります。この脆弱性は、攻撃者が /admin/content またはその他のカスタムビューにアクセスし、ノードを編集するアクセス許可を持っている必要があるという事実によって軽減されます。特に、一括操作の「コンテンツを固定にする」、「コンテンツを固定解除する」、「コンテンツをフロントページに昇格する」、「コンテンツを公開する」、「フロントページからコンテンツを削除する」、「コンテンツを非公開にする」には、コンテンツ管理のためのアクセス許可が必要になりました。(SA-CORE-2025-002)

- Drupal コアが特定の状況でエラーメッセージを十分にフィルターしないため、折り返し型クロスサイトスクリプティングの脆弱性 (XSS) が引き起こされます。サイトの更新を推奨します。これを悪用する手順はまだ公開されていませんが、この問題の性質上、間もなく公開される可能性があります。この問題は、Drupal Steward によって保護されています。Drupal Steward を使用するサイトはすでに保護されていますが、近い将来にアップグレードすることをお勧めします。(SA-CORE-2025-001)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。