Drupal 6.x < 6.36 OpenID のセキュリティバイパス

medium Nessus プラグイン ID 84291

概要

リモートの Web サーバーは、セキュリティバイパス脆弱性の影響を受ける PHP アプリケーションを実行しています。

説明

リモート Web サーバーは、6.36 より前のバージョン 6.x の Drupal を実行しています。このため、OpenID モジュールの欠陥のために、セキュリティバイパスの脆弱性により影響を受ける可能性があります。リモートの攻撃者はこの欠陥を悪用して、管理者などの他のユーザーとしてログインできます。注意:犠牲者は、Verisign、LiveJournal、または StackExchange などの一連の特定 OpenID プロバイダー提供の既存 OpenID アカウントを所有しているはずです。

Nessus は、この問題をテストしていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。

ソリューション

Drupal バージョン 6.36 またはそれ以降にアップグレードしてください。

参考資料

https://www.drupal.org/SA-CORE-2015-002

https://www.drupal.org/drupal-6.36-release-notes

プラグインの詳細

深刻度: Medium

ID: 84291

ファイル名: drupal_6_36.nasl

バージョン: 1.8

タイプ: remote

ファミリー: CGI abuses

公開日: 2015/6/19

更新日: 2022/4/11

設定: パラノイドモードの有効化, 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.4

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2015-3234

脆弱性情報

CPE: cpe:/a:drupal:drupal

必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/Drupal

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/6/17

脆弱性公開日: 2015/6/17

参照情報

CVE: CVE-2015-3234

BID: 75294