Drupal 7.x < 7.56複数の脆弱性

critical Web App Scanning プラグイン ID 98559

Language:

概要

説明

自己報告によるバージョン番号によると、検出された Drupal アプリケーションは、リモートコード実行の脆弱性の影響を受けます。

- 特定の操作中に PHP オブジェクトを安全に処理しないため、PECL YAML パーサーに欠陥が存在します。認証されていないリモート攻撃者がこの脆弱性を悪用し、任意のコードを実行する可能性があります。 (CVE-2017-6920)

- ファイルの操作時、複数のフィールドに対してユーザー指定入力が不適切に検証されるため、ファイル REST リソースに欠陥があります。認証されていないリモートの攻撃者がこれを悪用し、整合性に詳細不明な影響を与える可能性があります。サイトで RESTful Web Services (rest) モジュールが有効化され、ファイル REST リソースが有効で、パッチリクエストが許可されており、攻撃者がファイルをアップロードし、ファイルリソースを変更する権限を持ち、サイトでユーザーアカウントを取得または登録できる場合にのみ、サイトはこの問題の影響を受けます。(CVE-2017-6921)

- 匿名のユーザーが、サイトのコンテンツに永続的にはアタッチされないプライベートファイルをアップロードしたとき、すべての匿名ユーザーには表示されずアップロードした匿名ユーザーにのみ表示されるようにすることができないため、情報漏洩の脆弱性があります。認証されていないリモートの攻撃者がこれを悪用し、他の匿名ユーザーのファイルを漏洩させる可能性があります。(CVE-2017-6922)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。