Drupal 8.3.x < 8.3.0-rc2 の複数の脆弱性

high Web App Scanning プラグイン ID 98554

Language:

概要

説明

自己報告によるバージョン番号によると、検出された Drupal アプリケーションは、リモートコード実行の脆弱性の影響を受けます。

- テキストエディター (CKEDITOR など) が設定されたプライベートファイルを追加するとき、アクセス制限を適切にチェックできないため、セキュリティバイパスの脆弱性がエディターモジュールにあります。認証されていないリモートの攻撃者がこれを悪用し、アクセス制限をバイパスして任意のファイルを漏洩させる可能性があります。(CVE-2017-6377)

- HTTP リクエストが、特定の秘密性の高いアクションを実行するとき、複数の手順、明示的な確認、または一意のトークンを要求しないため、クロスサイトリクエストフォージェリ (XSRF) の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、特別な細工がされたリンクをたどるようユーザーを誘導し、ユーザーにサイト上のブロックを無効にさせたり、意図しない追加のアクションを実行させる可能性があります。(CVE-2017-6379)

- PHPUnit のコンポーネントに詳細不明の欠陥があり、認証されていないリモートの攻撃者が任意のコードを実行する可能性があります。注意 : この脆弱性の影響を受けるのは、8.2.2 より前のバージョンのみです。(CVE-2017-6381)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。