检测

Drupal 8.7.x < 8.7.12 / 8.8.x < 8.8.4 Drupal 漏洞 (SA-CORE-2020-001) (drupal-2020-03-18)

medium Nessus 插件 ID 134702

语言:

简介

远程 Web 服务器上运行的 PHP 应用程序受到一个漏洞的影响。

描述

根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 8.7.12 的 8.7.x 或低于 8.8.4 的 8.8.x。因而受到一个漏洞的影响。- Drupal 项目使用的第三方库 CKEditor 已经发布保护部分 Drupal 配置所需的一项安全改进。如果 Drupal 配置为针对您的站点用户使用 WYSIWYG CKEditor,则可能存在漏洞。当多人可以编辑内容时,可以利用漏洞针对其他人执行 XSS 攻击,包括拥有更多访问权限的站点管理员。最新版 Drupal 将 CKEditor 更新到 4.14 版,从而缓解漏洞。(SA-CORE-2020-001) 请注意,Nessus 没有测试此问题,而仅依赖于应用程序自我报告的版本号。

解决方案

升级到 Drupal 8.7.12 / 8.8.4 或更高版本。

另见

https://www.drupal.org/sa-core-2020-001

http://www.nessus.org/u?54adedaa

https://github.com/ckeditor/ckeditor4

https://www.drupal.org/project/drupal/releases/8.7.12

https://www.drupal.org/project/drupal/releases/8.8.4

插件详情

严重性: Medium

ID: 134702

文件名: drupal_8_8_4.nasl

版本: 1.4

类型: remote

系列: CGI abuses

发布时间: 2020/3/19

最近更新时间: 2022/4/11

配置: 启用偏执模式, 启用全面检查

支持的传感器: Nessus

漏洞信息

CPE: cpe:/a:drupal:drupal

必需的 KB 项: Settings/ParanoidReport, installed_sw/Drupal

补丁发布日期: 2020/3/18

漏洞发布日期: 2020/3/18

参考资料信息

IAVA: 2020-A-0118-S