www.

Τετάρτη, 21 Σεπτεμβρίου 2016

Drupal 8 core - Critical - Multiple Vurnelabilities

Δείτε online: https://www.drupal.org/SA-CORE-2016-004
* ID αναφοράς : DRUPAL-SA-CORE-2016-004
* Project: Drupal Core
* Έκδοση : 8.x
* Ημερομηνία : 2016-September-21
* Security risk: 18/25 ( Critical)
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
* Τύπος Ευπάθειας : Πολλαπλή

Χρήστες χωρίς "Administer comments" μπορούν να ορίσουν την εμφάνιση ή μη των nodes (Less critical)

Χρήστες που έχουν δικαιώματα επεξεργασίας ενός node, μπορούν να ορίσουν την εμφάνιση ή μη των σχολίων που αφορούν το συγκεκριμένο node. Αυτό θα πρέπει να περιοριστεί σε αυτούς που έχουν δικαιώματα "Administer comments".

Cross-site Scripting (XSS) στα http exceptions (critical)

Ένας επιτιθέμενος έχει τη δυνατότητα να δημιουργήσει ένα ειδικά διαμορφωμένο url, το οποίο μπορεί να εκτελέσει αυθαίρετα κώδικα στον browser του θύματος. Το Drupal δεν καθαρίζει με σωστό τρόπο ένα http exception και επιτρέπει αυτή τη ενέργεια.

Πλήρες config μπορεί να γίνει εξαχθεί χωρίς διαχειριστικά δικαιώματα (critical)

Η διαδρομή system.temporary μπορεί να επιτρέψει το κατέβασμα πλήρους config. Η δυνατότητα αυτή θα πρέπει να περιοριστεί σε αυτούς που έχουν δικαιώματα "Export configuration".

--------  Εκδόσεις που επηρεάζονται --------
* Drupal 8.x


-------- Λύση --------
Αναβάθμιση σε Drupal 8.1.10

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR