Drupal 7.x < 7.88 / 9.2.x < 9.2.13 / 9.3.x < 9.3.6 多個弱點 (drupal-2022-02-16)

high Nessus Plugin ID 158095

Synopsis

遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。

描述

根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 7.88 之前的 7.x 版、9.2.13 之前的 9.2.x 版或 9.3.6 之前的 9.3.x 版。因此,會受到多個弱點影響。

- 在某些情況下,快速編輯模組未正確檢查實體存取權。這可導致具有就地編輯權限的使用者能夠檢視他們無權存取的某些內容。只有在安裝 QuickEdit 模組 (隨附於標准設定檔) 後,網站才會受到影響。Drupal Steward 不在此公告範圍內。(SA-CORE-2022-004)

- Drupal 核心的表單 API 有一個弱點,其中某些提供的模組或自訂模組的表單可能容易受到不當輸入驗證影響。這可允許攻擊者注入遭到阻止的值或覆寫資料。受影響的表單並不常見,但在某些情況下,攻擊者可變更重要或敏感資料。另請參閱快速編輯 - 中等嚴重 - 繞過存取 - SA-CONTRIB-2022-025 (已解決所提供模組的相同弱點)。Drupal Steward 不在此公告範圍內。(SA-CORE-2022-003)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Drupal 7.88 / 9.2.13 / 9.3.6 版或更新版本。

另請參閱

https://www.drupal.org/sa-core-2022-004

https://www.drupal.org/node/3227039

https://www.drupal.org/project/drupal/releases/9.2.13

https://www.drupal.org/project/drupal/releases/9.3.6

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/steward

https://www.drupal.org/sa-core-2022-003

https://www.drupal.org/project/drupal/releases/7.88

https://www.drupal.org/sa-contrib-2022-025

Plugin 詳細資訊

嚴重性: High

ID: 158095

檔案名稱: drupal_9_3_6.nasl

版本: 1.7

類型: remote

系列: CGI abuses

已發布: 2022/2/16

已更新: 2022/4/11

組態: 啟用 Paranoid 模式, 啟用徹底檢查

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-25271

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:drupal:drupal

必要的 KB 項目: installed_sw/Drupal, Settings/ParanoidReport

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/2/16

弱點發布日期: 2022/2/16

參考資訊

CVE: CVE-2022-25270, CVE-2022-25271

IAVA: 2022-A-0090