Drupal 9.0.x < 9.0.14 跨網站指令碼
high Web App Scanning Plugin ID 112801
語系:
概要
Drupal 9.0.x < 9.0.14 跨網站指令碼說明
根據應用程式自我報告的版本,遠端 Web 伺服器上執行的 Drupal 執行個體是 8.9.16 之前的 8.9.x 版、9.0.14 之前的 9.0.x 版或 9.1.9 之前的 9.1.x 版。因此,它受到跨網站指令碼 (XSS) 弱點影響。Drupal 使用第三方程式庫 CKEditor,此程式庫容易受到剖析 HTML 時產生的跨網站指令碼 (XSS) 弱點影響。此安全性版本可修正 Drupal 核心內含或 Drupal 核心要求的協力廠商相依性。
請注意,掃描程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼做出判斷。
解決方案
更新至 Drupal 9.0.14 或最新版本。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 112801
類型: remote
已發布: 2021/6/3
已更新: 2023/3/14
掃描範本: api, basic, full, pci, scan
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: High
基本分數: 7.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: Tenable
CVSS v3
風險因素: High
基本分數: 7.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
CVSS 評分資料來源: Tenable
弱點資訊
CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2021/5/26
弱點發布日期: 2021/5/26
參考資訊
CWE: 79
OWASP: 2010-A2, 2013-A3, 2013-A9, 2017-A7, 2017-A9, 2021-A3, 2021-A6
WASC: Cross-Site Scripting
CAPEC: 209, 588, 591, 592, 63, 85
DISA STIG: APSC-DV-002490, APSC-DV-002630
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-CM-6b, sp800_53-SI-10
OWASP API: 2019-API7, 2023-API8
OWASP ASVS: 4.0.2-14.2.1, 4.0.2-5.3.3