Drupal 10.3.x < 10.3.13 / 10.3.x < 10.3.13 / 10.4.x < 10.4.3 / 10.4.x < 10.4.3 / 11.x < 11.0.12 / 11.x < 11.0.12 / 11.1.x < 11.1.3 / 11.1.x < 11.1.3 多个漏洞 (drupal-2025-02-19)

high Nessus 插件 ID 216497

语言：

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 10.3.13 的 10.3.x，低于 10.3.13 的 10.3.x、低于 10.4.3 的 10.4.x、低于 10.4.3 的 10.4.x、低于 11.0.12 的 11.x、低于 11.0.12 的 11.x、低于 11.1.3 的 11.1.x 或低于 11.1.3 的 11.1.x。因此该软件受到多个漏洞的影响。

- Drupal 核心包含潜在的 PHP 对象注入漏洞，如果与其他漏洞结合使用，可能会导致任意文件包含。存在将此攻击升级为远程代码执行攻击的技术。此漏洞不可直接利用。此问题已得到缓解，因为要利用该漏洞，必须存在单独的漏洞，才能让攻击者向 unserialize() 传递不安全的输入。Drupal 核心中尚未发现此类已知漏洞。(SA-CORE-2025-003)

- 批量操作允许授权用户通过 Content 页面 (/admin/content) 一次修改多个节点。站点生成器还可以使用 Views 向其他页面添加批量操作。核心 Actions 系统存在一个缺陷，某些用户可利用此缺陷，使用批量操作权限修改他们在单个节点上没有修改权限的某些字段。通过要求攻击者必须拥有访问 /admin/content 或其他自定义视图以及编辑节点的权限，来缓解此漏洞。特别是，“使内容粘着”、“取消内容粘着”、“将内容推广到首页”、“发布内容”、“从首页移除内容”、“取消发布内容”等批量操作如今要求管理员拥有内容权限。(SA-CORE-2025-002)

- 在某些情况下，Drupal 核心不会充分过滤错误消息，从而导致反射型跨站脚本漏洞 (XSS)。建议您更新站点。目前没有利用此问题的公开记录步骤，但鉴于此问题的性质，可能很快就会提供。Drupal Steward 目前可以防止此问题。使用 Drupal Steward 的站点已受到保护，但仍建议近期进行升级。(SA-CORE-2025-001)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。