Drupal 7.x < 7.95 / 9.4.x < 9.4.12 / 9.5.x < 9.5.5 / 10.x < 10.0.5 多个漏洞 (drupal-2023-03-15)

high Nessus 插件 ID 172584

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.95 的 7.x，低于 9.4.12 的 9.4.x、低于 9.5.5 的 9.5.x 或低于 10.0.5 的 10.x。因此，该应用程序受到多个漏洞的影响。

- Drupal 核心提供的页面可从 phpinfo() 中输出标记，以协助诊断 PHP 配置。如果攻击者能够针对特权用户实现 XSS 漏洞利用，他们便可能会使用 phpinfo 页面访问可用于攻击升级的敏感信息。
此漏洞已得到缓解，原因是需要成功利用 XSS 才能利用此漏洞。(SA-CORE-2023-004)

- 语言模块中的语言转换器块可提供用于在不同语言之间快速切换的链接。未发布译文的 URL 可能被泄露。如果与 Pathauto 等模块结合使用，还可能导致未发布内容的标题被泄露。Drupal Steward 不涵盖此公告。(SA-CORE-2023-003)

- 媒体模块在某些情况下不会正确检查实体访问权限。这可能导致用户可以看到他们无权访问的媒体项目的缩略图，包括私人文件的缩略图。此版本与 SA-CONTRIB-2023-010 相一致。Drupal Steward 不涵盖此公告。(SA-CORE-2023-002)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。