Drupal 9.2.x < 9.2.18 / 9.3.x < 9.3.12 多个漏洞 (drupal-2022-04-20)

high Nessus 插件 ID 160024

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 web 服务器上运行的 Drupal 实例为低于 9.2.18 的 9.2.x 版本，或低于 9.3.12 的 9.3.x 版本。因此，该主机受到多个漏洞的影响。

- Drupal 9.3 实现了用于实体修订的通用实体访问 API。但是，该 API 未与现有权限完全集成，导致通常有权使用内容修订但无权访问节点和媒体内容的各个项目的用户可能会绕过某些访问权限。此漏洞仅影响使用 Drupal 修订系统的站点。Drupal Steward 不涵盖此公告。(SA-CORE-2022-009)

- Drupal 核心的表单 API 存在一个漏洞，某些提供的模块或自定义模块的表单可能容易受到不当输入验证的影响。这可允许攻击者注入不被允许的值或覆盖数据。受影响的表单并不多见，但在某些情况下，攻击者可以更改关键或敏感数据。我们不知道核心本身中受影响的表单，但贡献的项目表单和自定义项目表单可能会受到影响。安装此更新可修复这些表单。Drupal Steward 不涵盖此公告。(SA-CORE-2022-008)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。