Loading...

Drupal 8 core - Critical - Multiple Vurnelabilities

Δείτε online: https://www.drupal.org/SA-CORE-2016-004
* ID αναφοράς : DRUPAL-SA-CORE-2016-004
* Project: Drupal Core
* Έκδοση : 8.x
* Ημερομηνία : 2016-September-21
* Security risk: 18/25 ( Critical)
AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
* Τύπος Ευπάθειας : Πολλαπλή

Χρήστες χωρίς "Administer comments" μπορούν να ορίσουν την εμφάνιση ή μη των nodes (Less critical)

Χρήστες που έχουν δικαιώματα επεξεργασίας ενός node, μπορούν να ορίσουν την εμφάνιση ή μη των σχολίων που αφορούν το συγκεκριμένο node. Αυτό θα πρέπει να περιοριστεί σε αυτούς που έχουν δικαιώματα "Administer comments".

Cross-site Scripting (XSS) στα http exceptions (critical)

Ένας επιτιθέμενος έχει τη δυνατότητα να δημιουργήσει ένα ειδικά διαμορφωμένο url, το οποίο μπορεί να εκτελέσει αυθαίρετα κώδικα στον browser του θύματος. Το Drupal δεν καθαρίζει με σωστό τρόπο ένα http exception και επιτρέπει αυτή τη ενέργεια.

Πλήρες config μπορεί να γίνει εξαχθεί χωρίς διαχειριστικά δικαιώματα (critical)

Η διαδρομή system.temporary μπορεί να επιτρέψει το κατέβασμα πλήρους config. Η δυνατότητα αυτή θα πρέπει να περιοριστεί σε αυτούς που έχουν δικαιώματα "Export configuration".

--------  Εκδόσεις που επηρεάζονται --------
* Drupal 8.x


-------- Λύση --------
Αναβάθμιση σε Drupal 8.1.10

security 3956742798302867553
Αρχική σελίδα item

Δημοφιλή Άρθα

Random Posts

Click to read Περισσότερα Όλα said: Σχετικά Άρθρα Σχόλια Menu