Drupal 7.x < 7.66 / 8.5.x < 8.5.15 / 8.6.x < 8.6.15 多个漏洞 (drupal-2019-04-17)

critical Nessus 插件 ID 124176

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.66 的 7.x，低于 8.5.15 的 8.5.x 或低于 8.6.15 的 8.6.x。因而会受到多个漏洞的影响。- jQuery 项目已发布 3.4.0 版本，并公开会影响所有旧版产品的安全漏洞。如其版本信息所述：jQuery 3.4.0 包含针对使用 jQuery.extend(true, {}, ...) 时的部份意外行为进行的修复。若未清理的来源对象包含可枚举的 __proto__ property，则可扩大本机 Object.prototype。此修复包含在 jQuery 3.4.0 内，但存在修补程序 diffs，可修补旧版的 jQuery。某些 Drupal 模块的此漏洞可能会遭到恶意利用。预防起见，此 Drupal 安全性版本会反向移植 jQuery.extend() 的修复，而不对 Drupal 内核（Drupal 8 为 3.2.1，Drupal 7 为 1.4.4）内含的 jQuery 版本，或通过其他模块（如 jQuery Update）在站点上运行的 jQuery 版本做任何其他变更。(SA-CORE-2019-006) - 此安全性版本可修复 Drupal 内核内含或要求的第三方依赖项。CVE-2019-10909：避开 PHP 模板引擎中的验证消息。依据公告：使用 PHP 模板引擎的窗体主题时，并未规避验证消息，验证消息可能含有用户输入时会导致 XSS。CVE-2019-10910：检查服务 ID 是否有效。依据公告：来源于未经筛选用户输入的服务 ID 可能导致执行任意代码，从而可能造成远程代码执行。CVE-2019-10911：在 remember me cookie 哈希中新增一个分隔符。依据公告：如此可修复下列问题：cookie 中的部分到期时间被认定为部分用户名，或是部分用户名称被认定为部分到期时间。攻击者可修改 remember me cookie 并验证为另一名用户。仅当 remember me 功能已启用，且有两名用户共享一个密码哈希，或密码哈希（如 UserInterface::getPassword()）对所有用户均为 null（若以外部系统（如 SSO）检查密码时有效）时，才能发动此攻击。(CVE-2019-10909, CVE-2019-10910, CVE-2019-10911) 请注意，Nessus 并未针对这一问题进行测试，而仅依赖应用程序自我报告的版本号。