Drupal 7.x < 7.91 / 9.3.x < 9.3.19 / 9.4.x < 9.4.3 多个漏洞 (drupal-2022-07-20)

high Nessus 插件 ID 163318

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.91 的 7.x，低于 9.3.19 的 9.3.x 或低于 9.4.3 的 9.4.x。因此，该主机受到多个漏洞的影响。

- Media oEmbed iframe 路由未正确验证 iframe 域设置，这允许在主域的上下文中显示嵌入内容。在某些情况下，这可导致跨站脚本攻击、泄露 Cookie 或其他漏洞。Drupal Steward 不涵盖此公告。
(CVE-2022-25276)

- 已于 2022 年 7 月 20 日 19:45 UTC 更新，表明此问题仅影响 Apache Web 服务器。Drupal 核心会在上传时审查具有危险扩展名的文件名（参考：SA-CORE-2020-012），并剥离文件名开头和结尾的点，以防止上传服务器配置文件（参考：SA-CORE-2019-010)。但是，针对这两个漏洞的保护措施以前不能一起正常工作。因此，如果将站点配置为允许上传具有 htaccess 扩展名的文件，则这些文件的文件名将无法得到正确审查。攻击者可借此绕过 Drupal 核心的默认 .htaccess 文件提供的保护，并且可能在 Apache Web 服务器上执行远程代码。此问题可通过以下方式得到缓解：它需要字段管理员将文件字段明确配置为允许使用 htaccess 作为扩展名（受限权限），或需要提供的模块或自定义代码覆盖允许上传的文件。(CVE-2022-25277)

- 在某些情况下，Drupal 核心表单 API 会错误地评估表单元素的访问权限，这可能导致用户能够更改他们本无权访问的数据。已知 Drupal 核心提供的任何表单都不会受到影响，但是，通过提供或自定义的模块或主题添加的表单可能会受到影响。Drupal Steward 中不涵盖此公告。(CVE-2022-25278)

- 在某些情况下，使用图像样式系统生成派生图像时，图像模块未正确检查对未存储在标准公共文件目录中的图像文件的访问权限。仅当非公共文件存储在私有文件系统中时，应用程序才会检查其访问权限。但是，一些提供的模块会提供其他文件系统或方案，这可能导致此漏洞。此漏洞可通过以下方式得到缓解：仅在站点将 (Drupal 9) $config['image.settings']['allow_insecure_derivatives'] 或 (Drupal 7) $conf['image_allow_insecure_derivatives'] 设置为 TRUE 时，它才适用。建议的默认设置为 FALSE，Drupal 核心未提供在管理 UI 中进行更改的方式。在此安全版本发布之后，某些站点可能需要更改配置。如果您在更新后访问文件或图像样式时遇到问题，请查看 Drupal 版本的发行说明。(CVE-2022-25275)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号进行判断。