| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Drupal 7、9.2 和 9.3 中存在安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 安裝最新版本: 如果您使用的是 Drupal 9.3,請更新到Drupal 9.3.6。 如果您使用的是 Drupal 9.2,請更新到Drupal 9.2.13。 如果您使用的是 Drupal 7,請更新到Drupal 7.88。 9.2.x 之前的所有 Drupal 9 版本已終止,並不再支援安全性更新。 |
| 細節描述: | Drupal核心的表單 API存在一個弱點,其中某些貢獻或自定義模塊的表單可能容易受到不正確的輸入驗證的影響。這可能允許攻擊者輸入不允許的值或覆蓋資料。受影響的表單並不常見,但在某些情況下,攻擊者可能會更改關鍵或敏感資料。(CVE-2022-25271)
在某些情況下,快速編輯模組無法正確檢查實體訪問。這可能導致具有“訪問就地編輯”權限的用戶查看他們無權訪問的某些內容。只有安裝了 QuickEdit 模塊(標準配置文件)時,站點才會受到影響。(CVE-2022-25270) |
| 參考資訊: | US-CERT Drupal(CVE-2022-25271) Drupal(CVE-2022-25270) |