Drupal 10.3.x < 10.3.13 / 10.3.x < 10.3.13 / 10.4.x < 10.4.3 / 10.4.x < 10.4.3 / 11.x < 11.0.12 / 11.x < 11.0.12 / 11.1.x < 11.1.3 / 11.1.x < 11.1.3 多個弱點 (drupal-2025-02-19)

high Nessus Plugin ID 216497

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到多個弱點的影響。

說明

根據應用程式自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 10.3.13 之前的 10.3.x 版、10.3.13 之前的 10.3.x 版、10.4.3 之前的 10.4.x 版、10.4.3 之前的 10.4.x 版、11.0.12 之前的 11.x 版、11.0.12 之前的 11.x 版、11.1.3 之前的 11.1.x 版或 11.1.3 之前的 11.1.x 版本。因此,它受到多個弱點影響。

- Drupal 核心包含一個潛在的 PHP 物件插入弱點,該弱點 (若與其他惡意利用結合) 可導致任意檔案刪除。現有技術可將此攻擊升級為遠端程式碼執行。這並不會直接遭到惡意利用。此問題的影響已減輕,因為必須有個別的弱點允許攻擊者將不安全的輸入傳遞至 unserialize(),才能加以惡意利用。Drupal 核心中沒有此類已知的惡意利用。(SA-CORE-2025-003)

- 大量作業允許授權使用者從內容頁面 (/admin/content) 一次修改數個節點。網站建立者也可以使用 Views 新增大量作業至其他頁面。核心 Actions 系統中有一個錯誤,允許部分使用者使用其在個別節點上無權限修改的大量動作修改部分欄位。由於攻擊者必須具有存取 /admin/content 或其他自訂檢視的權限,以及編輯節點的權限,此弱點的影響程度有所減輕。特別是,大量作業 固定內容 非固定內容 將內容提升至首頁 發佈內容 從首頁移除內容 取消發佈內容現在需要「管理內容」權限。(SA-CORE-2025-002)

- 在某些情況下,Drupal 核心未充分篩選錯誤訊息,進而導致反映式跨網站指令碼弱點 (XSS)。鼓勵所有網站更新。目前尚無公開記錄的步驟來惡意利用此問題,但考慮到此問題的本質,可能很快就會有。此問題受到 Drupal Steward 保護。使用 Drupal Steward 的網站已受到保護,但仍建議在近期升級。(SA-CORE-2025-001)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Drupal 10.3.13 / 10.3.13 / 10.4.3 / 10.4.3 / 11.0.12 / 11.0.12 / 11.1.3 / 11.1.3 版或更新版本。

另請參閱

https://www.drupal.org/sa-core-2025-003

https://www.drupal.org/project/drupal/releases/10.3.13

https://www.drupal.org/project/drupal/releases/10.4.3

https://www.drupal.org/project/drupal/releases/11.0.12

https://www.drupal.org/project/drupal/releases/11.1.3

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/psa-2023-11-01

https://www.drupal.org/sa-core-2025-002

https://www.drupal.org/sa-core-2025-001

https://www.drupal.org/steward

Plugin 詳細資訊

嚴重性: High

ID: 216497

檔案名稱: drupal_11_1_3.nasl

版本: 1.1

類型: remote

系列: CGI abuses

已發布: 2025/2/19

已更新: 2025/2/19

組態: 啟用 Paranoid 模式, 啟用徹底檢查 (optional)

支援的感應器: Nessus

弱點資訊

CPE: cpe:/a:drupal:drupal

必要的 KB 項目: Settings/ParanoidReport, installed_sw/Drupal

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/2/19

弱點發布日期: 2025/2/19