Drupal 7.x < 7.44 / 8.x < 8.1.3 の複数の脆弱性
high Nessus プラグイン ID 91781
Language:
概要
リモート Web サーバーで起動している PHP アプリケーションは、複数の脆弱性の影響を受けます。説明
リモート Web サーバーで実行している Drupal のバージョンは、7.44 より前の 7.x か、8.1.3 より前の 8.x です。したがって、次の脆弱性の影響を受けます:- Views モジュールに、認証されていないリモートの攻撃者が、制限をバイパスし、Statistics モジュールによって収集されたヒットの数を漏洩させることを可能にする欠陥が存在します。(VulnDB 140142)
- User モジュールに、ユーザーアカウントの保存時に「すべてのユーザー」ロールの付与が誤っていることによる欠陥が存在します。
認証されているリモートの攻撃者がこれを悪用して、昇格された権限を取得する可能性があります。(VulnDB 140143)
Nessus はこれらの問題に対してテストされていませんが、その代わりにアプリケーションの自己報告されたバージョン番号のみに依存していることに、注意してください。
ソリューション
Drupal をバージョン 7.44 / 8.1.3 以降にアップグレードしてください。参考資料
https://www.drupal.org/SA-CORE-2016-002
プラグインの詳細
深刻度: High
ID: 91781
ファイル名: drupal_8_1_3.nasl
バージョン: 1.9
タイプ: remote
ファミリー: CGI abuses
公開日: 2016/6/23
更新日: 2022/4/11
設定: パラノイドモードの有効化, 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2016-6211
CVSS v3
リスクファクター: High
基本値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: cpe:/a:drupal:drupal
必要な KB アイテム: www/PHP, Settings/ParanoidReport, installed_sw/Drupal
パッチ公開日: 2016/6/15
脆弱性公開日: 2016/6/15
参照情報
CVE: CVE-2016-6211, CVE-2016-6212
BID: 91230