Drupal 7.x < 7.96 / 9.4.x < 9.4.14 / 9.5.x < 9.5.8 / 10.x < 10.0.8 Drupal 弱點 (SA-CORE-2023-005)

medium Nessus Plugin ID 174488

語言:

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到一個弱點影響。

說明

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 7.96 之前的 7.x 版、9.4.14 之前的 9.4.x 版、9.5.8 之前的 9.5.x 版或 10.0.8 之前的 10.x 版。因此，會受到一個弱點影響。

- 在某些情況下，檔案下載設施未充分清理檔案路徑。這可能會導致使用者取得他們不應存取的私人檔案的存取權。在此安全公告發佈之後，某些網站可能需要變更組態。如果您在更新後存取私密檔案時遇到問題，請檢閱 Drupal 版本的版本資訊。Drupal Steward 在此公告範圍內。
由於此弱點不會遭到大規模惡意利用，因此 Steward 合作夥伴可能會以僅監控的方式回應，而非強制執行新的 WAF 規則。我們通常不會就此嚴重性問題申請發佈新版本。但是，針對此情況，我們選擇套用 Drupal Steward 安全性範圍來測試我們的處理程序。Drupal 7 Windows Web 伺服器上的所有 Drupal 7 網站都有弱點。Linux Web 伺服器上的 Drupal 7 網站容易受到某些檔案目錄結構的影響，此外如果該網站安裝了有弱點的提供或自訂檔案存取模組，亦會受到影響。Drupal 9 和 10 Drupal 9 和 10 網站只有在安裝了某些提供或自訂的檔案存取模組時，才會受到影響。(SA-CORE-2023-005)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。