Drupal 7.x < 7.96 / 9.4.x < 9.4.14 / 9.5.x < 9.5.8 / 10.x < 10.0.8 Drupal 弱點 (SA-CORE-2023-005)

high Nessus Plugin ID 174488

語系：

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到一個弱點影響。

說明

根據其自我報告的版本，遠端 Web 伺服器上執行的 Drupal 執行個體是 7.96 之前的 7.x 版、9.4.14 之前的 9.4.x 版、9.5.8 之前的 9.5.x 版或 10.0.8 之前的 10.x 版。因此，會受到一個弱點影響。

- 在某些情況下，檔案下載設施未充分清理檔案路徑。這可能會導致使用者取得他們不應存取的私人檔案的存取權。在此安全公告發佈之後，某些網站可能需要變更組態。如果您在更新後存取私密檔案時遇到問題，請檢閱 Drupal 版本的版本資訊。Drupal Steward 在此公告範圍內。
由於此弱點不會遭到大規模惡意利用，因此 Steward 合作夥伴可能會以僅監控的方式回應，而非強制執行新的 WAF 規則。我們通常不會就此嚴重性問題申請發佈新版本。但是，針對此情況，我們選擇套用 Drupal Steward 安全性範圍來測試我們的處理程序。Drupal 7 Windows Web 伺服器上的所有 Drupal 7 網站都有弱點。Linux Web 伺服器上的 Drupal 7 網站容易受到某些檔案目錄結構的影響，此外如果該網站安裝了有弱點的提供或自訂檔案存取模組，亦會受到影響。Drupal 9 和 10 Drupal 9 和 10 網站只有在安裝了某些提供或自訂的檔案存取模組時，才會受到影響。(SA-CORE-2023-005)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。