Drupal 9.2.x < 9.2.15 / 9.3.x < 9.3.8 多個弱點 (drupal-2022-03-16)

medium Nessus Plugin ID 158982

Synopsis

遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。

描述

根據其自我報告的版本號碼,遠端網頁伺服器上執行的 Drupal 執行個體是早於 9.2.15 的 9.2.x 版或早於 9.3.8 的 9.3.x 版。因此,會受到多個弱點影響。

- CKEditor4 是一個開放原始碼的 what-you-see-is-what-you-get HTML 編輯器。CKEditor4 4.18.0 更舊版本的 `dialog` 外掛程式中有一個弱點。此弱點允許透過濫用對話方塊輸入驗證器規則運算式造成效能大幅下降,進而導致瀏覽器索引標籤凍結。 4.18.0 版提供修補程式。目前尚無已知的因應措施。(CVE-2022-24729)

- CKEditor4 是一個開放原始碼的 what-you-see-is-what-you-get HTML 編輯器。在核心 HTML 處理模組中發現一個弱點,該弱點可能影響 CKEditor 4 4.18.0 更舊版本中使用的所有外掛程式。
此弱點允許注入格式錯誤的 HTML 來繞過內容審查程式,進而可能導致執行 JavaScript 程式碼。此問題已在 4.18.0 版中修正。目前尚無已知的因應措施。(CVE-2022-24728)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Drupal 9.2.15 / 9.3.8 版或更新版本。

另請參閱

https://github.com/ckeditor/ckeditor4

https://www.drupal.org/steward

https://www.drupal.org/psa-2011-002

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/sa-core-2022-005

http://www.nessus.org/u?526d7751

http://www.nessus.org/u?773fe8cd

http://www.nessus.org/u?742ef187

http://www.nessus.org/u?63de4ace

https://www.drupal.org/project/drupal/releases/9.2.15

https://www.drupal.org/project/drupal/releases/9.3.8

Plugin 詳細資訊

嚴重性: Medium

ID: 158982

檔案名稱: drupal_9_3_8.nasl

版本: 1.6

類型: remote

系列: CGI abuses

已發布: 2022/3/16

已更新: 2022/4/26

組態: 啟用 Paranoid 模式, 啟用徹底檢查

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Low

基本分數: 3.5

時間分數: 2.6

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

時間媒介: CVSS2#E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2022-24728

CVSS v3

風險因素: Medium

基本分數: 5.4

時間分數: 4.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2022/3/16

弱點發布日期: 2022/3/16

參考資訊

CVE: CVE-2022-24728, CVE-2022-24729

IAVA: 2022-A-0123