Drupal 7.x < 7.66 / 8.5.x < 8.5.15 / 8.6.x < 8.6.15 多個弱點 (drupal-2019-04-17)

critical Nessus Plugin ID 124176

語系：

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到多個弱點的影響。

說明

根據其自我報告的版本，遠端網頁伺服器上執行的 Drupal 執行個體是 7.66 之前的 7.x 版、8.5.15 之前的 8.5.x 版或 8.6.15 之前的 8.6.x 版。因此，會受到多個弱點影響。- jQuery 專案已發佈 3.4.0 版本，並一併公告會影響所有舊版產品的安全性弱點。如其版本資訊所述：jQuery 3.4.0 包含針對使用 jQuery.extend(true, {}, ...) 時的部份意外行為所做的修正。若未清理的來源物件包含可列舉的 __proto__ property，就可擴大原生 Object.prototype。此修正包含在 jQuery 3.4.0 內，但有修補程式 diffs，可修補舊版的 jQuery。某些 Drupal 模組的此弱點可能會遭到惡意利用。提醒您，此 Drupal 安全性版本會反向移植 jQuery.extend() 的修正，而不對 Drupal 核心 (Drupal 8 為 3.2.1，Drupal 7 為 1.4.4) 內含的 jQuery 版本，或透過其他模組 (如 jQuery Update) 在站點上執行的 jQuery 版本做任何其他變更。(SA-CORE-2019-006) - 此安全性版本可修正 Drupal 核心內含或 Drupal 核心要求的協力廠商相依性。CVE-2019-10909：規避 PHP 範本引擎中的驗證訊息。依據公告：使用 PHP 範本引擎的表單主題時，並未規避驗證訊息，驗證訊息可能含有使用者輸入時會導致 XSS。CVE-2019-10910：確認服務 ID 是否正確。依據公告：衍生自未經篩選使用者輸入的服務 ID 可能導致任何程式碼執行，進而可能造成遠端程式碼執行。CVE-2019-10911：在 remember me cookie 雜湊中新增一個分隔符號。依據公告：如此可修正下列問題：cookie 中的部分過期時間被認定為部分使用者名稱，或是部分使用者名稱被認定為部分過期時間。攻擊者可修改 remember me cookie 並驗證為另一名使用者。僅當 remember me 功能已啟用，且有兩名使用者共用一個密碼雜湊，或密碼雜湊 (如 UserInterface::getPassword()) 對所有使用者均為 null (若以外部系統 (如 SSO) 檢查密碼時為有效)，才能發動此攻擊。(CVE-2019-10909、CVE-2019-10910、CVE-2019-10911) 請注意，Nessus 並未測試這個問題，而是僅依據應用程式自我報告的版本號碼。