Уязвимости в системе управления web-контентом Drupal

19 августа 2017 года

Представлен корректирующий выпуск системы управления контентом Drupal 8.3.7 в котором устранены три уязвимости. Уязвимость CVE-2017-6925 отнесена к категории критических проблем и позволяет получить неавторизированный доступ к средствам для просмотра, создания, обновления и удаления объектов. Уязвимость проявляется только для объектов, которые не используются, которым не присвоен UUID или которые имеют разные ограничения доступа в разных ревизиях.

Вторая уязвимость CVE-2017-6923 отмечена как умеренно-критическая и позволяет получить доступ к представлениям, настроенным для обработки через Ajax, в обход заданных правил доступа. Связанная с Ajax уязвимость также проявляется во многих сторонних модулях к Drupal 7 и 8, и позволяет получить данные, к которым ограничен публичный доступ. Третья уязвимость CVE-2017-6924 позволяет разместить комментарий через REST API, даже если пользователь не имеет полномочий на отправку комментариев и в обход системы подтверждения.

Источники

править


 
 
Creative Commons
Эта статья содержит материалы из статьи «Уязвимости в системе управления web-контентом Drupal», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.