偵測

Drupal 8.8.x < 8.8.4 第三方程式庫弱點

medium Web App Scanning Plugin ID 98989

語系:

概要

Drupal 8.8.x < 8.8.4 第三方程式庫弱點

說明

根據其自我報告的版本號碼,遠端網頁伺服器上執行的 Drupal 執行個體是 8.7.12 之前的 8.7.x 版或 8.8.4 之前的 8.8.x 版。因此受到一個跨網站指令碼弱點的影響。

Drupal 使用第三方程式庫 CKEditor,它容易受到 HTML 資料處理器中的跨網站指令碼 (XSS) 攻擊。此安全性版本可修正 Drupal 核心內含或 Drupal 核心要求的協力廠商相依性。

請注意,掃描程式並未測試這些問題,而是僅依據應用程式自我報告的版本號碼做出判斷。

解決方案

更新至 Drupal 8.8.4 或最新版本。

另請參閱

https://ckeditor.com/blog/CKEditor-4.14-with-Paste-from-LibreOffice-released/#security-issues-fixed

https://www.drupal.org/project/drupal/releases/8.8.4

https://www.drupal.org/sa-core-2020-001

Plugin 詳細資訊

嚴重性: Medium

ID: 98989

類型: remote

已發布: 2020/3/24

已更新: 2023/3/14

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 6.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 評分資料來源: Tenable

弱點資訊

CPE: cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2020/3/18

弱點發布日期: 2020/3/5

參考資訊