自己報告されたバージョンによると、RESTful Web Services (rest) モジュールが有効で、サイトで PATCH リクエストが許可されている場合、詳細不明な欠陥によるアクセスバイパスの脆弱性の影響を受けます。認証されたリモートの攻撃者がこれを悪用し、重要なアクセス制限をバイパスする可能性があります。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Drupalセキュリティチームによる報告:

CVE-2017-6919:アクセスバイパス

自己報告されたバージョンによると、リモートのWebサーバーで実行されているDrupalのインスタンスは、8.2.8より前の8.xまたは8.3.1より前の8.3.xです。したがって、RESTful Web Services（rest）モジュールが有効で、サイトでPATCHリクエストが許可されている場合、詳細不明な欠陥によるアクセスバイパスの脆弱性の影響を受けます。認証されたリモートの攻撃者がこれを悪用し、重要なアクセス制限をバイパスする可能性があります。Nessusはこの問題についてテストしていませんが、代わりにアプリケーションの自己報告のバージョン番号のみに依存しています。

- [8.3.1]（https://www.drupal.org/project/drupal/releases/8.3.1）

  - [Drupalコア - 重要度最高 - アクセスバイパス -SA-CORE-2017-002]（https://www.drupal.org/SA-CORE-2017-002）

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
98557	Drupal 8.x < 8.2.8 のアクセスバイパスの脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	high
98556	Drupal 8.3.x < 8.3.1 のアクセスバイパスの脆弱性	Web App Scanning	Component Vulnerability	2018/11/5	2023/3/14	high
99615	FreeBSD: drupal8 -- Drupalコア - 重要度高 - アクセスバイパス（1455c86c-26c2-11e7-9daa-6cf0497db129）	Nessus	FreeBSD Local Security Checks	2017/4/24	2021/1/4	high
99690	Drupal 8.x <8.2.8/8.3.x <8.3.1アクセスバイパスの脆弱性（SA-CORE-2017-002）	Nessus	CGI abuses	2017/4/26	2022/4/11	high
99922	Fedora 25：drupal8（2017-041473e742）	Nessus	Fedora Local Security Checks	2017/5/2	2021/1/11	high
101720	Fedora 26：drupal8（2017-ccdf272e60）	Nessus	Fedora Local Security Checks	2017/7/17	2021/1/6	high
99925	Fedora 24：drupal8（2017-e8767a2fbb）	Nessus	Fedora Local Security Checks	2017/5/2	2021/1/6	high

検出

プラグインの検索

high

high

high

high

high

high

high