Drupal 8.9.x < 8.9.18 / 9.1.x < 9.1.12 / 9.2.x < 9.2.4 多個弱點 (SA-CORE-2021-005)
medium Nessus Plugin ID 152533
語系:
概要
遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。說明
根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 8.9.18 之前的 8.9.x 版、9.1.12 之前的 9.1.x 版或 9.2.4 之前的 9.2.x 版。因此,由於其使用第三方元件 CKEditor 進行 WYSIWYG 編輯,因此受到多個弱點影響:- 在 CKEditor 4 Fake Objects 套件中發現一個弱點。此弱點允許插入格式錯誤的 Fake Objects HTML,進而導致執行 JavaScript 程式碼。(CVE-2021-37695)
- 在與復原功能一起使用的剪貼簿 Widget 外掛程式中發現一個弱點。此弱點允許使用者利用格式錯誤的 Widget HTML 來濫用復原功能,進而導致執行 JavaScript 程式碼。(CVE-2021-32808)
- 在 CKEditor 4 Clipboard 套件中發現一個弱點。該弱點允許利用格式錯誤的 HTML 濫用貼上功能,進而導致將任意 HTML 插入編輯器。(CVE-2021-32809)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。
解決方案
升級至 Drupal 8.9.18 / 9.1.12 / 9.2.4 版或更新版本。另請參閱
https://www.drupal.org/sa-core-2021-005
http://www.nessus.org/u?03aa81e2
https://github.com/ckeditor/ckeditor4
https://www.drupal.org/project/drupal/releases/8.9.18
https://www.drupal.org/project/drupal/releases/9.1.12
https://www.drupal.org/project/drupal/releases/9.2.4
Plugin 詳細資訊
嚴重性: Medium
ID: 152533
檔案名稱: drupal_9_2_4.nasl
版本: 1.9
類型: remote
系列: CGI abuses
已發布: 2021/8/12
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.0
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 2.6
媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2021-37695
CVSS v3
風險因素: Medium
基本分數: 5.4
時間分數: 4.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:drupal:drupal
必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2021/8/12
弱點發布日期: 2021/8/12
參考資訊
CVE: CVE-2021-32808, CVE-2021-32809, CVE-2021-37695
IAVA: 2021-A-0384-S