Drupal维护人员修复了该流行的内容管理系统(CMS)中的多个信息泄露和跨站脚本漏洞。
最严重的漏洞,编号为CVE-2020-13668,是个影响Drupal 8和9版本的严重反射型跨站脚本漏洞。
根据该厂商发布的安全公告,攻击者可以利用HTML对受影响表单的渲染方式来利用该漏洞。
该公告称该漏洞只能在特定情况下被利用。该CMS中修复的其他漏洞被评为一般严重。
第一个一般严重漏洞是一个信息泄露漏洞,编号为CVE-2020-13670,影响该CMS的8和9版本。
该安全公告指出,File模块中存在一个安全漏洞,攻击者可通过猜测文件的ID利用该漏洞访问无权访问的某个永久私人文件的文件元数据。
本周修复的第二个一般严重漏洞为一个访问绕过漏洞,编号为CVE-2020-13667,影响Drupal 8和9版本。
根据该安全公告,experimental Workspaces模块允许用户在网站上创建多个工作区,在内容被发布到活动工作区之前,用户可以在工作区中编辑草稿内容。当切换工作区时,Workspaces模块未能充分检查访问权限,导致一个访问绕过漏洞。在网站所有者打算让人们看到内容之前,攻击者可能能够看到内容。
最后一个漏洞为一个跨站脚本漏洞,编号为CVE-2020-13669,影响Drupal 7和8版本,存在于Drupal core的CKEditor图像标题功能中。
该安全公告强调Drupal 8.8.x之前的8版本已经结束生命周期,不再接收安全更新。
—————————————————————————————————————
消息来源Security Affairs;转载请注明出处。
来源:freebuf.com 2020-09-18 13:53:06 by: 偶然路过的围观群众
请登录后发表评论
注册