Drupal Core sérülékenységei (SA-Core-2017-004)

CH azonosító

CH-14193

Angol cím

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004

Felfedezés dátuma

2017.08.15.

Súlyosság

Kritikus

Érintett rendszerek

Drupal

Érintett verziók

Drupal Core 8.x verziók (8.3.7 előttiek)

Összefoglaló

A Drupal Core három kritikus kockázati besorolású sérülékenysége vált ismertté, amelyeket kihasználva a támadók jogosulatlan hozzáférést szerezhetnek. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Nézettábla létrehozásakor az Ajax opcionálisan frissítheti a megjelenített adatokat a szűrőparaméterek segítségével. A nézetek modul nem korlátozta az Ajax végpont elérését, csak az Ajax használatához konfigurált nézetekre. [CVE-2017-6923]

A REST API használatakor a felhasználók megfelelő jogosultság nélkül is tehetnek közzé megjegyzéseket a REST használatával. [CVE-2017-6924]

Az entitások hozzáférési rendszerében olyan biztonsági rés található, amely lehetővé tenné a nem kívánt hozzáférést az entitások megtekintéséhez, létrehozásához, frissítéséhez vagy törléséhez. Ez csak azon entitásokat érinti, amelyek nem használnak vagy nem rendelkeznek UUID-vel, valamint azokat, amelyek különböző hozzáférési korlátozásokkal rendelkeznek ugyanazon entitás különböző felületein. [CVE-2017-6925]

Megoldás

Frissítsen a 8.3.7 verzióra.