| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Drupal 7.x,8.8.x,8.9.x 和 9.0.x 中存在安全性弱點! |
| 影響系統: | Durpal 7.73 之前版本Durpal 8.8.10之前版本Durpal 8.9.9 之前版本Durpal 9.0.6 之前版本 |
| 解決辦法: | 請參考 Durpal 官網安裝至最新版本: 如果您使用的是Drupal 7.x,請升級到Drupal 7.73。 如果您使用的是Drupal 8.8.x,請升級到Drupal 8.8.10。 如果您使用的是Drupal 8.9.x,請升級到Drupal 8.9.6。 如果您使用的是Drupal 9.0.x,請升級到Drupal 9.0.6。 |
| 細節描述: | 1.Drupal AJAX API不會禁用JSONP,這可能導致跨站點腳本編寫。 2.Drupal 8和9具有反映的跨站點腳本(XSS)弱點,攻擊者可利用此弱點為受影響的表單以HTML的方式呈現。 3.Drupal核心的內置CKEditor圖像標題功能容易受到跨站點腳本(XSS)的攻擊。 4.Drupal Workspaces模塊中,切換Workspaces時,並未充分檢查訪問權限,從而導致存取繞過弱點。 5.Drupal 文件模組中存在一個弱點,攻擊者可以通過猜測文件ID來查看他們無法存取的機密文件數據。 |
| 參考資訊: | US-CERT drupal drupal drupal drupal drupal |