Drupal 10.5.x < 10.5.12 / 10.6.x < 10.6.11 / 11.2.x < 11.2.14 / 11.3.x < 11.3.12 多个漏洞 (drupal-2026-06-17)

critical Nessus 插件 ID 321519

简介

远程 Web 服务器上运行的 PHP 应用程序受到多个漏洞影响。

描述

根据其自我报告的版本,远程 Web 服务器上运行的 Drupal 实例为低于 10.5.12 的 10.5.x,低于 10.6.11 的 10.6.x、低于 11.2.14 的 11.2.x 或低于 11.3.12 的 11.3.x。因此,该软件受到多个漏洞的影响。

- Drupal 核心包含一系列方法,当站点上存在不安全的反序列化漏洞时可利用这些方法。这个所谓的小工具链不会构成直接威胁,但是一个矢量,如果应用程序由于另一个漏洞而反序列化不受信任的数据,则可用于实现远程代码执行或 SQL 注入。此问题不可直接利用。此问题已得到缓解,原因是必须存在一个单独的漏洞才能使其可被利用,以允许攻击者将不安全的输入传递到 unserialize()。(CVE-2026-55804)

- Drupal 核心随附了一个 rebuild.php 前端控制器,可用于在站点处于意外状况时重建 Drupal(清除缓存并重建容器)。此脚本未对照受信任的主机模式列表正确检查主机标头。这可导致缓存中毒或重定向到攻击者控制的域。(CVE-2026-55806)

- JSON:API 和 REST 模块允许您将图像文件上传到图像字段。验证规则检查已上传文件的文件扩展名,但不检查文件 MIME 类型。这可能允许恶意用户上传非图像的文件。某些 Web 服务器配置可能以实际 MIME 类型而非图像类型来处理上传的文件。这可能导致跨站脚本 (XSS) 或其他意外行为。(CVE-2026-55808)

- Media 模块带有对 oEmbed 的支持。oEmbed 规范包含两种发现机制,即通过providers.json和通过 URL 发现。可利用 URL 发现代码诱骗 Drupal 向任何 URL 发出服务器端请求。(CVE-2026-55807)

- SA-CORE-2019-003 为存储序列化数据的字段添加了保护,以禁止通过 Web 服务进行直接写入。上述补丁未涵盖 JSON:API 的所有潜在攻击载体。具有适当 JSON:API 写入权限的攻击者可能会在某些极少情况下注入恶意负载,可能导致 PHP 对象注入。该漏洞已得到缓解,原因是以下事实:网站必须使用存储序列化属性的实体引用字段类型。攻击者必须具有通过 JSON:API 写入实体的权限。Drupal 核心随附的任何字段类型均不满足这些标准,并且第三方或用户创建的字段类型看起来确实非常不寻常。此更新保护所有这些字段;受影响模块中无需进行任何更改。
JSON:API 默认为只读,因此只有在启用了写入访问权限的站点(通过管理员配置或安装启用写入访问权限的第三方或自定义模块)时,才会受到影响。Drupal Steward 保护:此问题由 Drupal Steward 保护。在这种情况下,我们认为 WAF 规则将缓解常见/明显漏洞路径的影响,但可能无法涵盖所有情况或适用于所有托管提供商。此外,Drupal Steward 未能缓解今天发布的多个其他核心安全公告。因此,我们仍然建议计划在此版本发布后的 24 小时内进行实际的 Drupal 更新。(CVE-2026-55803)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级版本到 Drupal 10.5.12 / 10.6.11 / 11.2.14 / 11.3.12 或更高版本。

另见

https://www.drupal.org/project/drupal/releases/10.5.12

https://www.drupal.org/project/drupal/releases/10.6.11

https://www.drupal.org/project/drupal/releases/11.2.14

https://www.drupal.org/project/drupal/releases/11.3.12

https://www.drupal.org/psa-2021-06-29

https://www.drupal.org/psa-2023-11-01

https://www.drupal.org/sa-core-2019-003

https://www.drupal.org/sa-core-2026-005

https://www.drupal.org/sa-core-2026-006

https://www.drupal.org/sa-core-2026-007

https://www.drupal.org/sa-core-2026-008

https://www.drupal.org/sa-core-2026-009

https://www.drupal.org/steward

http://www.nessus.org/u?32ad7152

插件详情

严重性: Critical

ID: 321519

文件名: drupal_11_3_12.nasl

版本: 1.2

类型: Remote

系列: CGI abuses

发布时间: 2026/6/18

最近更新时间: 2026/6/26

配置: 启用偏执模式, 启用全面检查 (optional)

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

百分位: 57.95

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2026-55804

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:drupal:drupal

必需的 KB 项: Settings/ParanoidReport, installed_sw/Drupal

易利用性: No known exploits are available

补丁发布日期: 2026/6/17

漏洞发布日期: 2026/6/17

参考资料信息

CVE: CVE-2026-55803, CVE-2026-55804, CVE-2026-55806, CVE-2026-55807, CVE-2026-55808

IAVA: 2026-A-0600