Összefoglaló
A Drupal Core három kritikus kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadók jogosulatlan hozzáférést szerezhetnek. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Nézettábla létrehozásakor az Ajax opcionálisan frissítheti a megjelenített adatokat a szűrőparaméterek segítségével. A nézetek modul nem korlátozta az Ajax végpont elérését, csak az Ajax használatához konfigurált nézetekre. [CVE-2017-6923]
A REST API használatakor a felhasználók megfelelő jogosultság nélkül is tehetnek közzé megjegyzéseket a REST használatával. [CVE-2017-6924]
Az entitások hozzáférési rendszerében olyan biztonsági rés található, amely lehetővé tenné a nem kívánt hozzáférést az entitások megtekintéséhez, létrehozásához, frissítéséhez vagy törléséhez. Ez csak azon entitásokat érinti, amelyek nem használnak vagy nem rendelkeznek UUID-vel, valamint azokat, amelyek különböző hozzáférési korlátozásokkal rendelkeznek ugyanazon entitás különböző felületein. [CVE-2017-6925]
Megoldás
Frissítsen a 8.3.7 verzióra.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
CVE-2017-6923 - NVD CVE-2017-6923
CVE-2017-6924 - NVD CVE-2017-6924
CVE-2017-6925 - NVD CVE-2017-6925