Drupal 8.9.x < 8.9.19 多个漏洞

critical Web App Scanning 插件 ID 112977

语言：

简介

描述

根据其自我报告的版本，远程 Web 服务器上运行的 Drupal 实例为低于 8.9.19 的 8.9.x，低于 9.1.13 的 9.1.x 或低于 9.2.6 的 9.2.x。因此，该主机受到多个漏洞的影响。

- 在某些情况下，Drupal 核心 JSON: API 模块未正确限制某些内容的访问权限，这可能导致意外访问绕过。未启用 JSON: API 模块的站点不受影响。(CVE-2020-13677)

- QuickEdit 模块在某些情况下未正确检查字段的访问权限，这可导致字段数据意外泄露。仅当安装了 QuickEdit 模块（随附标准配置文件提供）时，站点才会受到影响。(CVE-2020-13676)

- Drupal 的 JSON: API 和 REST/File 模块允许通过其 HTTP API 上传文件。这些模块未正确运行所有文件验证，从而导致访问绕过漏洞。攻击者可能会上传绕过由站点上的模块实施的文件验证过程的文件。此漏洞可通过三个因素缓解：必须在站点启用 JSON: API 或 REST 文件上传模块。攻击者必须有权通过 JSON: API 或 REST 上传文件。站点必须部署文件验证模块。(CVE-2020-13675)

- QuickEdit 模块未正确验证路由的访问权限，这在某些情况下可允许跨站请求伪造并可能导致数据完整性问题。仅当安装了 QuickEdit 模块（随附标准配置文件提供）时，站点才会受到影响。删除不受信任用户的访问原位编辑权限不会完全缓解此漏洞。(CVE-2020-13674)

- Drupal 核心媒体模块提供一个过滤器，允许在内容字段中嵌入内部和外部媒体。在某些情况下，当具有嵌入媒体权限的受信任用户访问某个页面时，该过滤器可允许非特权用户将 HTML 注入其中。在某些情况下，这可导致跨站脚本漏洞。(CVE-2020-13673)

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。