Drupal 8.9.x < 8.9.19 / 9.1.x < 9.1.13 / 9.2.x < 9.2.6 多个漏洞 (drupal-2021-09-15)

critical Nessus 插件 ID 153402

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.9.19 的 8.9.x，低于 9.1.13 的 9.1.x 或低于 9.2.6 的 9.2.x。因此，该主机受到多个漏洞的影响。

- 在某些情况下，Drupal 核心 JSON: API 模块未正确限制某些内容的访问权限，这可能导致意外访问绕过。未启用 JSON: API 模块的站点不受影响。Drupal Steward 中不涵盖此公告。(CVE-2020-13677)

- QuickEdit 模块在某些情况下未正确检查字段的访问权限，这可导致字段数据意外泄露。仅当安装了 QuickEdit 模块（随附标准配置文件提供）时，站点才会受到影响。Drupal Steward 中不涵盖此公告。(CVE-2020-13676)

- Drupal 的 JSON: API 和 REST/File 模块允许通过其 HTTP API 上传文件。这些模块未正确运行所有文件验证，从而导致访问绕过漏洞。攻击者可能会上传绕过由站点上的模块实施的文件验证过程的文件。此漏洞可通过三个因素缓解：必须在站点启用 JSON: API 或 REST 文件上传模块。攻击者必须有权通过 JSON: API 或 REST 上传文件。站点必须部署文件验证模块。Drupal Steward 不涵盖此公告。另请参阅解决该模块的类似漏洞的 GraphQL - 中危
- 访问绕过 - SA-CONTRIB-2021-029。
(CVE-2020-13675)

- QuickEdit 模块未正确验证路由的访问权限，这在某些情况下可允许跨站请求伪造并可能导致数据完整性问题。仅当安装了 QuickEdit 模块（随附标准配置文件提供）时，站点才会受到影响。删除不受信任用户的访问原位编辑权限不会完全缓解此漏洞。Drupal Steward 中不涵盖此公告。(CVE-2020-13674)

- Drupal 核心媒体模块提供一个过滤器，允许在内容字段中嵌入内部和外部媒体。在某些情况下，当具有嵌入媒体权限的受信任用户访问某个页面时，该过滤器可允许非特权用户将 HTML 注入其中。在某些情况下，这可导致跨站脚本漏洞。Drupal Steward 不涵盖此公告。另请参阅解决该模块的类似漏洞的实体嵌入 - 中危 - 跨站请求伪造 - SA-CONTRIB-2021-028 。(CVE-2020-13673)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。