Drupal 6.x < 6.28 / 7.x < 7.19 多個弱點
medium Nessus Plugin ID 63691
語系:
概要
遠端 Web 伺服器正在執行一個受到多個弱點影響的 PHP 應用程式。說明
遠端網頁伺服器執行的 Drupal 是比 6.28 舊的 6.x 版或比 7.19 舊的 7.x 版。因此可能受到多個弱點影響:- 存在一個跨網站指令碼 (XSS) 弱點,這是因為在執行舊版 jQuery 時,並未正確清理使用者向某些 Drupal JavaScript 函式提供的輸入所導致。遠端攻擊者可加以惡意利用,將任意 HTML 和指令碼插入使用者的瀏覽器,以便在受影響網站的安全性內容中執行。(CVE-2013-0244)
- 書籍模組 (列印版本) 中存在一個存取繞過弱點,這會允許經驗證的遠端攻擊者存取任意節點的內容。(CVE-2013-0245)
- 7.x 版的影像模組受到一個存取繞過弱點影響,進而允許在未授權的情況下存取影像衍生。(CVE-2013-0246)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 6.28 / 7.19 或更新版本。請注意,XSS 問題可藉由將 jQuery 升級至 1.6.3 或更新版本來減輕。
另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 63691
檔案名稱: drupal_6_28.nasl
版本: 1.15
類型: remote
系列: CGI abuses
已發布: 2013/1/24
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:drupal:drupal
必要的 KB 項目: www/PHP, Settings/ParanoidReport, installed_sw/Drupal
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/1/16
弱點發布日期: 2013/1/16
參考資訊
CVE: CVE-2013-0244, CVE-2013-0245, CVE-2013-0246
BID: 57437