Drupal 10.6.x < 10.6.13 / 11.3.x < 11.3.14 / 11.4.x < 11.4.4 多個弱點 (drupal-2026-07-15)

medium Nessus Plugin ID 327097

概要

遠端 Web 伺服器上執行的 PHP 應用程式受到多個弱點的影響。

說明

根據其自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 10.6.13 之前的 10.6.x 版、11.3.14 之前的 11.3.x 版或 11.4.4 之前的 11.4.x 版。因此會受到多個弱點影響。

- Drupal 核心 11.2 及更高版本整合了 HTMX JavaScript 程式庫。Drupal 核心的 XSS 篩選器未充分清理某些 HTMX 屬性,這可能導致跨網站指令碼 (XSS) 漏洞。攻擊者必須能夠插入具有特定屬性的 HTML,因此可減輕此弱點。(CVE-2026-15917)

- 在某些情況下,版面配置產生器模組未充分清理區塊標籤,這可能會導致跨網站指令碼 (XSS) 弱點。攻擊者和目標使用者都需要使用 Layout Builder 編輯介面,因此可以減輕此問題。(CVE-2026-55805)

- 影像模組可讓您定義和設定影像欄位。當影像樣式衍生專案透過 private:// 以外的檔案串流提供時,模組無法充分檢查影像樣式衍生專案的存取權。
必須將 Drupal 設定為使用貢獻的 (非核心) 檔案配置來提供私有衍生影像,因此可減輕此弱點。像這樣的資訊洩露問題通常不會提供安全性公告 (如 ) 中 PSA-2023-07-12所述。此修正以強化形式提供。
實作自訂資料流包裝函式的貢獻模組可能需要新增類似的強化。
(CVE-2026-15916)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Drupal 10.6.13 / 11.3.14 / 11.4.4 版或更新版本。

另請參閱

https://www.drupal.org/project/drupal/releases/10.6.13

https://www.drupal.org/project/drupal/releases/11.3.14

https://www.drupal.org/project/drupal/releases/11.4.4

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/psa-2023-07-12

https://www.drupal.org/psa-2023-11-01

https://www.drupal.org/sa-core-2026-010

https://www.drupal.org/sa-core-2026-011

https://www.drupal.org/sa-core-2026-012

Plugin 詳細資訊

嚴重性: Medium

ID: 327097

檔案名稱: drupal_11_4_4.nasl

版本: 1.1

類型: Remote

系列: CGI abuses

已發布: 2026/7/15

已更新: 2026/7/15

組態: 啟用 Paranoid 模式, 啟用徹底檢查 (optional)

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 3

百分位: 23.77

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2026-15917

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:drupal:drupal

必要的 KB 項目: installed_sw/Drupal, Settings/ParanoidReport

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/7/15

弱點發布日期: 2026/7/15

參考資訊

CVE: CVE-2026-15916, CVE-2026-15917, CVE-2026-55805