根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.73 的 7.0.x，低于 8.8.10 的 8.8.x、低于 8.9.6 的 8.9.x 或低于 9.0.6 的 9.0.x。因此，该应用程序受到多个漏洞的影响：

 - 因 Drupal AJAX API 默认情况下不会禁用 JSONP 而造成的跨站脚本 (XSS) (CVE-2020-13666)。

 - 由于 Workspaces 模块在切换工作空间时未充分检查访问权限而导致的访问绕过 (CVE-2020-13667)。

 - 跨站脚本 (XSS) (CVE-2020-13668)。

 - Drupal 核心的内置 CKEditor 图像标题功能中存在跨站脚本 (XSS) (CVE-2020-13669)。

 - File 模块中存在信息泄露 (CVE-2020-13670)。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 7.73 的 7.x，低于 8.8.10 的 8.8.x、低于 8.9.6 的 8.9.x 或低于 9.0.6 的 9.0.x。因此，该实例会受到 AJAX API 组件中的跨站脚本 (XSS) 漏洞的影响，这是未正确验证用户提供的输入，便将其返回给用户所致。经过身份验证的远程攻击者可利用此漏洞，通过诱使用户单击特别构建的 URL，在用户的浏览器会话中执行任意脚本代码。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

在 Drupal（功能齐全的内容管理框架）中发现了两个漏洞。

CVE-2020-13666

Drupal AJAX API 默认未禁用 JSONP，可导致跨站脚本。

为了对依赖于 Drupal 的 AJAX API 进行 JSONP 请求的设置，需要重新启用 JSONP，否则必须使用 jQuery AJAX API。

请参阅上游公告，了解详细信息。
https://www.drupal.org/sa-core-2020-007

CVE-2020-13671

Drupal 无法审查已上传文件的文件名，可导致这些文件被用作错误的 MIME 类型或被执行，具体情况取决于服务器配置。

同时，建议检查之前上传的文件中是否存在恶意扩展。请参阅上游公告，了解详细信息： https://www.drupal.org/sa-core-2020-012

针对 Debian 9 stretch，这些问题已在 7.52-2+deb9u12 版本中修复。

我们建议您升级 drupal7 程序包。

如需了解 drupal7 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/drupal7

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Drupal Core 中的跨站脚本漏洞。Drupal AJAX API 未默认禁用 JSONP可导致 XSS 攻击。此问题会影响到低于 7.73的 Drupal Drupal Core 7.x 版本低于 8.8.108.8.x 的 版本低于 8.9.68.9.x 的 版本低于 9.0.6的 9.0.x 版本。 (CVE-2020-13666)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
112594	Drupal 9.0.x < 9.0.6 多个漏洞	Web App Scanning	Component Vulnerability	2020/9/18	2023/3/14	high
112595	Drupal 8.9.x < 8.9.6 多个漏洞	Web App Scanning	Component Vulnerability	2020/9/18	2023/3/14	high
112596	Drupal 8.8.x < 8.8.10 多个漏洞	Web App Scanning	Component Vulnerability	2020/9/18	2023/3/14	high
112597	Drupal 7.x < 7.73 多个漏洞	Web App Scanning	Component Vulnerability	2020/9/18	2023/3/14	high
140766	Drupal 7.x < 7.73 / 8.8.x < 8.8.10 / 8.9.x < 8.9.6 / 9.0.x < 9.0.6 XSS (drupal-2020-09-16)	Nessus	CGI abuses	2020/9/24	2022/4/11	medium
143138	Debian DLA-2458-1：drupal7 安全更新	Nessus	Debian Local Security Checks	2020/11/20	2022/1/20	high
248011	Linux Distros 未修补的漏洞：CVE-2020-13666	Nessus	Misc.	2025/8/11	2025/8/11	medium

检测

插件搜索

high

high

high

high

medium

high

medium