自己報告されたバージョン番号によると、検出された Drupal アプリケーションは、アップロードされたファイル内のデータの不適切なサニタイズにより、ファイルモジュール / サブシステムのクロスサイトスクリプティング (XSS) の脆弱性による影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

完全な機能を備えたコンテンツ管理フレームワークであるDrupalのファイルモジュールで入力がサニタイズされないと、クロスサイトスクリプティングを引き起こす可能性があることが判明しました。

詳細については、アップストリームアドバイザリを参照してください。https://www.drupal.org/sa-core-2019-004

- https://www.drupal.org/project/drupal/releases/7.65

    - https://www.drupal.org/SA-CORE-2019-004

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 以前の Drupal 7 のバージョンで 7.65Drupal 8.68.6.13より前のバージョン 。Drupal 8.58.5.14より前のバージョン。特定の状況で、ファイルモジュール / サブシステムにより、悪意のあるユーザーが、クロスサイトスクリプティングXSSの脆弱性を発生させる可能性があるファイルをアップロードする可能性があります。CVE-2019-6341

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Drupal セキュリティチームによる報告：

特定の状況で、Fileモジュールおよびサブシステムにより、悪意のあるユーザーが、クロスサイトスクリプティング（XSS）の脆弱性を引き起こす可能性のあるファイルをアップロードする可能性があります。

- https://www.drupal.org/project/drupal/releases/8.6.13

    - https://www.drupal.org/SA-CORE-2019-004

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは7.65より前の7.x、8.5.14より前の8.5.x、8.6.13より前の8.6.xです。したがって、アップロードされたファイル内のデータの不適切なサニタイズにより、ファイルモジュール/サブシステムのクロスサイトスクリプティング（XSS）の脆弱性による影響を受けます。

完全な機能を備えたコンテンツ管理フレームワークであるDrupalのファイルモジュールで入力がサニタイズされないと、クロスサイトスクリプティングを引き起こす可能性があることがわかりました。Debian 8「Jessie」では、この問題はバージョン7.32-1+deb8u16で修正されました。お使いのdrupal7パッケージをアップグレードすることを推奨します。注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
98395	Drupal 8.6.x < 8.6.13 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/21	2023/3/14	medium
98396	Drupal 8.5.x < 8.5.14 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/21	2023/3/14	medium
98397	Drupal 7.x < 7.65 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2019/3/21	2023/3/14	medium
123022	DebianDSA-4412-1: drupal7 - セキュリティ更新プログラム	Nessus	Debian Local Security Checks	2019/3/25	2024/6/13	medium
123569	Fedora 28：drupal7（2019-2fbce03df3）	Nessus	Fedora Local Security Checks	2019/4/2	2024/6/6	medium
245296	Linux Distros のパッチ未適用の脆弱性: CVE-2019-6341	Nessus	Misc.	2025/8/7	2025/8/7	medium
123422	FreeBSD: drupal -- Drupalコア - 重要度中 - XSS（94d63fd7-508b-11e9-9ba0-4c72b94353b5）	Nessus	FreeBSD Local Security Checks	2019/3/28	2024/6/7	medium
123570	Fedora 29：drupal7（2019-35589cfcb5）	Nessus	Fedora Local Security Checks	2019/4/2	2024/6/6	medium
123571	Fedora 28：drupal8（2019-79bd99f9a8）	Nessus	Fedora Local Security Checks	2019/4/2	2024/6/6	medium
123006	Drupal 7.x < 7.65/8.5.x < 8.5.14/8.6.x < 8.6.13 XSS（SA-CORE-2019-004）	Nessus	CGI abuses : XSS	2019/3/22	2022/4/11	medium
123566	Debian DLA-1746-1：drupal7セキュリティ更新プログラム	Nessus	Debian Local Security Checks	2019/4/2	2024/6/6	medium
123568	Fedora 29：drupal8（2019-1d9be4b853）	Nessus	Fedora Local Security Checks	2019/4/2	2024/6/6	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium