Drupal 7.x < 7.96 / 9.4.x < 9.4.14 / 9.5.x < 9.5.8 / 10.x < 10.0.8 Drupal 漏洞 (SA-CORE-2023-005)

high Nessus 插件 ID 174488

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到一个漏洞的影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.96 的 7.x，低于 9.4.14 的 9.4.x、低于 9.5.8 的 9.5.x 或低于 10.0.8 的 10.x。因此，该远程主机受到漏洞的影响。

- 在某些情况下，文件下载设备未充分审查文件路径。这可能导致用户获得他们本无权访问的私有文件的访问权限。在此安全版本发布之后，某些站点可能需要更改配置。如果您在更新后访问私有文件时遇到问题，请查看 Drupal 版本的发行说明。Drupal Steward 涵盖此公告。
此漏洞无法大范围利用，因此您的 Steward 合作伙伴可能会以仅监控方式来加以应对，而非强制实施新的 WAF 规则。我们通常不会因此严重程度而发布新版本。但在这种情况下，我们选择应用 Drupal Steward 安全性覆盖范围来测试我们的进程。Drupal 7 Windows Web 服务器上的所有 Drupal 7 站点都容易受到攻击。Linux Web 服务器上的 Drupal 7 站点容易受到某些文件目录结构的影响，或在安装了提供的或自定义的易受攻击文件访问模块时也会容易受到攻击。Drupal 9 和 10 Drupal 9 和 10 站点仅在安装了提供的或自定义的文件访问模块时易受攻击。(SA-CORE-2023-005)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。