Drupal 7.x < 7.91 / 9.3.x < 9.3.19 / 9.4.x < 9.4.3 多個弱點 (drupal-2022-07-20)

high Nessus Plugin ID 163318

語系：

概要

遠端網頁伺服器上執行的 PHP 應用程式受到多個弱點的影響。

說明

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 7.91 之前的 7.x 版、9.3.19 之前的 9.3.x 版或 9.4.3 之前的 9.4.x 版。因此，它會受到多個弱點影響。

- Media oEmbed iframe 路由未正確驗證 iframe 網域設定，允許在主要網域環境中顯示嵌入內容。在某些情況下，這可導致跨網站指令碼弱點、洩漏 Cookie 或其他弱點。Drupal Steward 不在此公告範圍內。
(CVE-2022-25276)

- 已於 2022-07-20 19:45 UTC 更新，指出此問題只會影響 Apache Web 伺服器。Drupal 核心會在上傳時清理具有危險副檔名的檔案名稱 (參照：SA-CORE-2020-012)，並去除檔案名稱開頭和結尾的點，以防止上傳伺服器組態檔案 (參照：SA-CORE-2019-010)。但是，針對這兩個弱點的防護措施先前無法一起正確運作。因此，如果網站設定為允許上傳副檔名為 htaccess 的檔案，則這些檔案的檔案名稱無法被正確清理。攻擊者可藉此繞過 Drupal 核心的預設 .htaccess 檔案所提供的保護，並可能在 Apache Web 伺服器上執行遠端程式碼。此問題的影響可透過以下方式緩解：它需要欄位管理員明確設定檔案欄位，以允許使用 htaccess 作爲副檔名 (受限權限)，或是需要提供的模組或自訂程式碼覆寫允許上傳的檔案。(CVE-2022-25277)

- 在某些情況下，Drupal 核心表單 API 會錯誤評估表單元素的存取權，這可能導致使用者能夠變更他們不應存取的資料。已知 Drupal 核心提供的表單都不會受到影響，但透過提供的或自訂模組或主題新增的表單可能會受到影響。Drupal Steward 不在此公告範圍內。(CVE-2022-25278)

- 在某些情況下，使用影像樣式系統產生衍生影像時，影像模組並未正確檢查對未儲存在標準公開檔案目錄中影像檔案的存取權。僅當非公開檔案儲存在私人檔案系統中時，程式才會檢查其存取權。但是，部分提供的模組會提供其他檔案系統或配置，這可能造成此弱點。僅當網站將 (Drupal 9) $config['image.settings']['allow_insecure_derivatives'] 或 (Drupal 7) $conf['image_allow_insecure_derivatives'] 設為 TRUE 時才適用，因此此弱點的影響已經緩解。建議的預設設定為 FALSE，且 Drupal 核心未提供在管理 UI 中變更的方法。在此安全公告發佈之後，某些網站可能需要變更組態。如果您在更新後存取檔案或影像樣式時遇到問題，請檢閱 Drupal 版本的版本資訊。(CVE-2022-25275)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。