偵測

Drupal 8.9.x < 8.9.16 / 9.x < 9.0.14 / 9.1.x < 9.1.9 Drupal 弱點 (SA-CORE-2021-003)

high Nessus Plugin ID 149999

語系:

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到一個弱點影響。

說明

根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 8.9.16 之前的 8.9.x 版、9.0.14 之前的 9.x 版或 9.1.9 之前的 9.1.x 版。因此,會受到一個弱點影響。

 - Drupal core 利用第三方 CKEditor 程式庫。此程式庫在剖析 HTML 時有一個錯誤,可導致 XSS 攻擊。CKEditor 4.16.1 和更新版本包含修正。透過非 Drupal 核心的方式使用 CKEditor 程式庫的使用者應更新其第三方程式碼 (例如 Drupal 7 的 WYSIWYG 模組)。Drupal 安全性團隊原則不會警示影響第三方程式庫的問題,除非這些庫隨附於 Drupal 核心。請參閱 DRUPAL-SA-PSA-2016-004 以取得詳細資料。此問題只會影響已啟用 CKEditor 的網站,這也是減輕此問題的方法。(SA-CORE-2021-003)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Drupal 8.9.16 / 9.0.14 / 9.1.9 版或更新版本。

另請參閱

https://www.drupal.org/sa-core-2021-003

https://www.drupal.org/project/drupal/releases/8.9.16

https://www.drupal.org/project/drupal/releases/9.0.14

https://www.drupal.org/project/drupal/releases/9.1.9

https://www.drupal.org/psa-2016-004

Plugin 詳細資訊

嚴重性: High

ID: 149999

檔案名稱: drupal_9_1_9.nasl

版本: 1.3

類型: remote

系列: CGI abuses

已發布: 2021/5/27

已更新: 2022/4/11

組態: 啟用 Paranoid 模式, 啟用徹底檢查

支援的感應器: Nessus

弱點資訊

CPE: cpe:/a:drupal:drupal

必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/5/26

弱點發布日期: 2021/5/26