Drupal 9.5.x < 9.5.11 / 10.x < 10.0.11 / 10.1.x < 10.1.4 Drupal 漏洞 (SA-CORE-2023-006)
high Nessus 插件 ID 181691
语言:
简介
远程 Web 服务器上运行的 PHP 应用程序受到一个漏洞的影响。描述
根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 9.5.11 的 9.5.x,低于 10.0.11 的 10.x 或低于 10.1.4 的 10.1.x。因此,该远程主机受到漏洞的影响。- 在某些场景下,Drupal 的 JSON:API 模块将输出错误回溯。对于某些配置,这可能会导致敏感信息被缓存并可供匿名用户使用,从而导致权限升级。此漏洞仅影响有 JSON 的站点:API 模块已启用,并且可以通过卸载 JSON: API 来缓解。核心 REST 及相关的 GraphQL 模块不受影响。Drupal Steward 合作伙伴已意识到这个问题。某些平台可能会提供缓解措施。但是,并非所有 WAF 配置都可以缓解该问题。因此,如果您的站点使用了 JSON: API,仍然建议立即更新到此安全版本。(SA-CORE-2023-006)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Drupal 9.5.11 / 10.0.11 / 10.1.4 或更高版本。另见
https://www.drupal.org/sa-core-2023-006
https://www.drupal.org/project/drupal/releases/10.0.11
https://www.drupal.org/project/drupal/releases/10.1.4
https://www.drupal.org/project/drupal/releases/9.5.11
插件详情
严重性: High
ID: 181691
文件名: drupal_10_1_4.nasl
版本: 1.4
类型: remote
系列: CGI abuses
发布时间: 2023/9/20
最近更新时间: 2023/10/6
配置: 启用偏执模式, 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.1
时间分数: 5.3
矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-5256
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:drupal:drupal
必需的 KB 项: installed_sw/Drupal, Settings/ParanoidReport
易利用性: No known exploits are available
补丁发布日期: 2023/9/20
漏洞发布日期: 2023/9/20
参考资料信息
CVE: CVE-2023-5256
IAVA: 2023-A-0505-S