FreeBSD:drupal -- 多种漏洞 (9393213d-489b-11e5-b8c7-d050996490d0)
high Nessus 插件 ID 85596
语言:
简介
远程 FreeBSD 主机缺少一个或多个与安全有关的更新。描述
Drupal 开发团队报告:此安全公告修复多种漏洞。参见下表。跨站脚本 - Ajax 系统 - Drupal 7 发现了一个漏洞,恶意用户可利用此漏洞通过对列入白名单的 HTML 元素调用 Drupal.ajax() 执行跨站脚本攻击。
不允许不受信任的用户进入 HTML 的站点中已缓解了此漏洞。跨站脚本 - 自动填写系统 - Drupal 6 和 7 在表单自动填写功能中发现了一个跨站脚本漏洞。对请求的 URL 审查不充分。
由于恶意用户必须经允许才能上传文件,所以已缓解了此漏洞。SQL 注入 - 数据库 API - Drupal 7 在 SQL 注释过滤系统中发现了一个漏洞,具有提升权限的用户可利用此漏洞在 SQL 注释中注入恶意代码。
由于安全团队发现只有一个组成模块以可触发该漏洞的方式使用注释过滤系统,所以已缓解了此漏洞。该模块要求您具有极高的访问权限级别以执行该攻击。跨站请求伪造 - 表单 API - Drupal 6 和 7 在 Drupal 的表单 API 中发现了一个漏洞,该漏洞允许使用不受信任的输入运行文件上传值回调,原因是未及时执行表单标记验证。此漏洞可允许恶意用户以其他用户的帐户将文件上传到站点。
由于上传的文件是临时文件,并且 Drupal 通常每隔 6 小时自动删除临时文件,所以已缓解了此漏洞。菜单链接中的信息泄露 - 访问系统 - Drupal 6 和 7 无“访问内容”权限的用户可查看其无访问权限的节点的标题,前提是此类节点已添加到这些用户有权访问的站点中。
解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 85596
文件名: freebsd_pkg_9393213d489b11e5b8c7d050996490d0.nasl
版本: 2.5
类型: local
发布时间: 2015/8/24
最近更新时间: 2021/1/6
支持的传感器: Nessus
漏洞信息
CPE: p-cpe:/a:freebsd:freebsd:drupal6, p-cpe:/a:freebsd:freebsd:drupal7, cpe:/o:freebsd:freebsd
必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
补丁发布日期: 2015/8/22
漏洞发布日期: 2015/8/19