偵測

Drupal 7.x < 7.38 多個弱點

medium Nessus Plugin ID 84292

語系:

概要

遠端 Web 伺服器正在執行一個受到多個弱點影響的 PHP 應用程式。

說明

遠端 Web 伺服器執行的 Drupal 7.x 版本為 7.38 之前的版本。因此可能受到以下弱點影響:

- 存在一個開放重新導向弱點,此弱點是因為不當驗證使用者在 Field UI 模組的「destinations」參數中提供的輸入所導致。遠端攻擊者可惡意利用此問題,透過特製的 URL 將使用者重新導向至第三方網站。(CVE-2015-3231)

- 存在一個開放重新導向弱點,此弱點是因為在系統管理員頁面的 Overlay 模組上顯示 URL 的內容之前不當驗證 URL 所導致。
 (CVE-2015-3232)

- 存在一個因轉譯器快取系統中的瑕疵所導致的資訊洩漏弱點。攻擊者可惡意利用此瑕疵,檢視任意使用者的隱私內容。
 (CVE-2015-3233)

- 存在一個因 OpenID 模組中的瑕疵而導致的安全性繞過弱點。遠端攻擊者可惡意利用此瑕疵來以其他使用者 (包括系統管理員) 的身分登入。
 請注意,受害者必須擁有一組特定 OpenID 提供者所提供的現有 OpenID 帳戶,包括但不限於 Verisign、LiveJournal 或 StackExchange。(CVE-2015-3234)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Drupal 7.38 或更新版本。

另請參閱

https://www.drupal.org/SA-CORE-2015-002

https://www.drupal.org/drupal-7.38-release-notes

Plugin 詳細資訊

嚴重性: Medium

ID: 84292

檔案名稱: drupal_7_38.nasl

版本: 1.11

類型: remote

系列: CGI abuses

已發布: 2015/6/19

已更新: 2022/4/11

組態: 啟用 Paranoid 模式, 啟用徹底檢查

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.0

CVSS v2

風險因素: Medium

基本分數: 5.8

時間分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2015-3233

弱點資訊

CPE: cpe:/a:drupal:drupal

必要的 KB 項目: www/PHP, Settings/ParanoidReport, installed_sw/Drupal

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/6/17

弱點發布日期: 2015/6/17

參考資訊

CVE: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234

BID: 75284, 75286, 75287, 75294