Drupal 8.8.x < 8.8.10 / 8.9.x < 8.9.6 / 9.0.x < 9.0.6 多个漏洞 (drupal-2020-09-16)

high Nessus 插件 ID 140765

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.8.10 的 8.8.x，低于 8.9.6 的 8.9.x 或低于 9.0.6 的 9.0.x。因此，该应用程序受到多个漏洞的影响：
- File 模块中存在信息泄露漏洞。经过身份验证的远程攻击者可利用此漏洞，泄露文件元数据。(CVE-2020-13670)

- Workspaces 模块中存在身份验证绕过漏洞，这是未充分检查分配的权限所致。未经身份验证的远程攻击者可利用此问题，通过发送特别构建的请求，在管理员公开提供内容之前访问受限制的内容 (CVE-2020-13667)。

- Drupal 的一个未公开组件中存在跨站脚本 (XSS) 漏洞，这是未正确验证用户提供的输入，便将其返回给用户所致。未经身份验证的远程攻击者可利用此问题，通过诱使用户单击特制的 URL，在用户的浏览器会话中执行任意脚本代码 (CVE-2020-13368)。

- CKEditor 图像说明功能中存在跨站脚本 (XSS) 漏洞，这是未正确验证用户提供的输入，便将其返回给用户所致。经过身份验证的远程攻击者可利用此漏洞，通过诱使用户单击特别构建的 URL，在用户的浏览器会话中执行任意脚本代码 (CVE-2020-13369)。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。