Drupal 7.x,8.8.x,8.9.x 和 9.0.x 中存在安全性弱點

風險等級: 高度威脅
摘  要: 弱點通告:Drupal 7.x,8.8.x,8.9.x 和 9.0.x 中存在安全性弱點!
影響系統: Durpal 7.73 之前版本Durpal 8.8.10之前版本Durpal 8.9.9 之前版本Durpal 9.0.6 之前版本
解決辦法: 請參考 Durpal 官網安裝至最新版本: 如果您使用的是Drupal
7.x,請升級到Drupal 7.73。 如果您使用的是Drupal 8.8.x,請升級到Drupal 8.8.10。
如果您使用的是Drupal 8.9.x,請升級到Drupal 8.9.6。 如果您使用的是Drupal 9.0.x,請升級到Drupal 9.0.6。
細節描述: 1.Drupal AJAX API不會禁用JSONP,這可能導致跨站點腳本編寫。
2.Drupal 8和9具有反映的跨站點腳本(XSS)弱點,攻擊者可利用此弱點為受影響的表單以HTML的方式呈現。
3.Drupal核心的內置CKEditor圖像標題功能容易受到跨站點腳本(XSS)的攻擊。
4.Drupal Workspaces模塊中,切換Workspaces時,並未充分檢查訪問權限,從而導致存取繞過弱點。
5.Drupal 文件模組中存在一個弱點,攻擊者可以通過猜測文件ID來查看他們無法存取的機密文件數據。
參考資訊: US-CERT
drupal
drupal
drupal
drupal
drupal