| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Drupal近日發布更新以解決產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Drupal官網安裝至最新版本: 1.如果您使用的是 Drupal 9.3,請更新到Drupal 9.3.8。 2.如果您使用的是 Drupal 9.2,請更新到Drupal 9.2.15。 9.2.x 之前的所有 Drupal 9 版本都已結束生命週期,並且不接受安全保護。 |
| 細節描述: | Drupal項目使用CKEditor庫進行所見即所得的編輯。CKEditor 發布了影響 Drupal 的安全更新。如果將 Drupal 配置為允許使用 CKEditor 庫進行所見即所得編輯,則可能存在弱點。可以創建或編輯內容(即使自己無法存取CKEditor)的攻擊者可能能夠利用一個或多個跨站點腳本 (XSS) 弱點來攻擊具有 WYSIWYG CKEditor存取權限的用戶,包括具有特權弱點權限的站點管理員。 |
| 參考資訊: | US-CERT Drupal |