Drupal 8.7.x < 8.7.12 / 8.8.x < 8.8.4 Drupal 弱點 (SA-CORE-2020-001) (drupal-2020-03-18)
medium Nessus Plugin ID 134702
語系:
概要
遠端 Web 伺服器上執行的 PHP 應用程式受到一個弱點影響。說明
根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 8.7.12 之前的 8.7.x 版或 8.8.4 之前的 8.8.x 版。因此,會受到一個弱點影響。- Drupal 專案使用第三方程式庫 CKEditor,此程式庫已發佈保護部分 Drupal 組態所需的安全性改善項目。若將 Drupal 設定為使用您的網站使用者適用的 WYSIWYG CKEditor,即有可能出現弱點。當有多個人可以編輯內容時,有人就可利用弱點來針對其他人執行 XSS 攻擊,包括具備更多存取權限的網站管理員。Drupal 的最新版本將 CKEditor 更新到 4.14,以緩解弱點。(SA-CORE-2020-001) 請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。解決方案
升級至 Drupal 8.7.12 / 8.8.4 或更新版本。另請參閱
https://www.drupal.org/sa-core-2020-001
http://www.nessus.org/u?54adedaa
https://github.com/ckeditor/ckeditor4
Plugin 詳細資訊
嚴重性: Medium
ID: 134702
檔案名稱: drupal_8_8_4.nasl
版本: 1.4
類型: remote
系列: CGI abuses
已發布: 2020/3/19
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
弱點資訊
CPE: cpe:/a:drupal:drupal
必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal
修補程式發佈日期: 2020/3/18
弱點發布日期: 2020/3/18
參考資訊
IAVA: 2020-A-0118-S