Drupal 7.x < 7.88 / 9.2.x < 9.2.13 / 9.3.x < 9.3.6 多个漏洞 (drupal-2022-02-16)
high Nessus 插件 ID 158095
语言:
简介
远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。描述
根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 7.88 的 7.x,低于 9.2.13 的 9.2.x 或低于 9.3.6 的 9.3.x。因此,该主机受到多个漏洞的影响。- 快速编辑模块在某些情况下不会正确检查实体访问权限。这可导致具有就地编辑权限的用户能够查看其无权访问的某些内容。仅当安装了 QuickEdit 模块(随附标准配置文件提供)时,站点才会受到影响。Drupal Steward 不涵盖此公告。(SA-CORE-2022-004)
- Drupal 核心的表单 API 存在一个漏洞,某些提供的模块或自定义模块的表单可能容易受到不当输入验证的影响。这可允许攻击者注入不被允许的值或覆盖数据。受影响的表单并不多见,但在某些情况下,攻击者可以更改关键或敏感数据。另请参阅快速编辑 - 中度危险 - 访问绕过 - SA-CONTRIB-2022-025 ,其中解决了所提供模块的相同漏洞。Drupal Steward 不涵盖此公告。(SA-CORE-2022-003)
请注意,Nessus 尚未测试此问题,而是只依靠应用程序自我报告的版本号来判断。
解决方案
升级到 Drupal 7.88 / 9.2.13 / 9.3.6 或更高版本。另见
https://www.drupal.org/sa-core-2022-004
https://www.drupal.org/node/3227039
https://www.drupal.org/project/drupal/releases/9.2.13
https://www.drupal.org/project/drupal/releases/9.3.6
https://www.drupal.org/psa-2021-06-29
https://www.drupal.org/steward
https://www.drupal.org/sa-core-2022-003
插件详情
严重性: High
ID: 158095
文件名: drupal_9_3_6.nasl
版本: 1.8
类型: remote
系列: CGI abuses
发布时间: 2022/2/16
最近更新时间: 2022/11/8
配置: 启用偏执模式, 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2022-25271
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:drupal:drupal
必需的 KB 项: installed_sw/Drupal, Settings/ParanoidReport
易利用性: No known exploits are available
补丁发布日期: 2022/2/16
漏洞发布日期: 2022/2/16
参考资料信息
CVE: CVE-2022-25270, CVE-2022-25271
IAVA: 2022-A-0090-S