Drupal 7.x < 7.56複数の脆弱性

critical Web App Scanning プラグイン ID 98559

概要

Drupal 7.x < 7.56複数の脆弱性

説明

自己報告によるバージョン番号によると、検出された Drupal アプリケーションは、リモートコード実行の脆弱性の影響を受けます。

- 特定の操作中に PHP オブジェクトを安全に処理しないため、PECL YAML パーサーに欠陥が存在します。認証されていないリモート攻撃者がこの脆弱性を悪用し、任意のコードを実行する可能性があります。 (CVE-2017-6920)

- ファイルの操作時、複数のフィールドに対してユーザー指定入力が不適切に検証されるため、ファイル REST リソースに欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、整合性に詳細不明な影響を与える可能性があります。サイトで RESTful Web Services (rest) モジュールが有効化され、ファイル REST リソースが有効で、パッチリクエストが許可されており、攻撃者がファイルをアップロードし、ファイルリソースを変更する権限を持ち、サイトでユーザーアカウントを取得または登録できる場合にのみ、サイトはこの問題の影響を受けます。(CVE-2017-6921)

- 匿名のユーザーが、サイトのコンテンツに永続的にはアタッチされないプライベートファイルをアップロードしたとき、すべての匿名ユーザーには表示されずアップロードした匿名ユーザーにのみ表示されるようにすることができないため、情報漏洩の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、他の匿名ユーザーのファイルを漏洩させる可能性があります。(CVE-2017-6922)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Drupal バージョン 7.56 または最新バージョンに更新してください。

参考資料

https://www.drupal.org/forum/newsletters/security-advisories-for-drupal-core/2017-06-21/drupal-core-multiple

https://www.drupal.org/project/drupal/releases/7.56

プラグインの詳細

深刻度: Critical

ID: 98559

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2018/11/5

更新日: 2023/3/14

スキャン テンプレート: api, basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2017-6920

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS スコアのソース: CVE-2017-6920

脆弱性情報

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/8/6

脆弱性公開日: 2018/8/6

参照情報

CVE: CVE-2017-6920, CVE-2017-6921, CVE-2017-6922

BID: 99211, 99219, 99222