Drupal
Уязвимости
728
Эксплуатируемые
7
Макс. CVSS
10
Макс. EPSS
0.99993
Распределение по критичности
Критический
21
Высокий
82
Средний
445
Низкий
180
Затронутые диапазоны версий
10.0.0–10.2.1011.3.0–11.3.74.6.0–4.6.114.7.0–4.7.64.7.0–4.7.85.0–5.115.0–5.195.0–5.225.0–5.35.0–5.85.0–5.95.0–7.06.0–6.136.0–6.26.0–6.36.0–6.316.0–6.346.0–6.357.0.0–7.887.0–7.1027.0–7.327.0–7.347.0–7.57.0–7.56
Также сопоставлено как (исходные строки): mimemail,hotblocks,civiregister,currency,nodeaccess_userreference,addressbook,drupal,taxonomy_manager,submitted_by,img_assist,filefield,devel
Топ уязвимостей
CVE-2013-0318Страница администратора в модуле Banckle Chat для Drupal неправильно ограничивает доступ, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения через неуказанные векторы.
CVE-2009-3354Множественные неуказанные уязвимости в модуле Rest API для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3353Множественные неуказанные уязвимости в модуле Node2Node для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3352Множественные неуказанные уязвимости в модуле quota_by_role (Quota by role) для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3351Множественные неуказанные уязвимости в модуле Node Browser для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3350Множественные неуказанные уязвимости в модуле Subdomain Manager для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2024-55638Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 7.0 до 7.102, с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2024-55637Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9, с 11.0.0 до 11.0.8.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2024-55636Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9, с 11.0.0 до 11.0.8.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2020-13675Модули JSON:API и REST/File Drupal позволяют загружать файлы через свои HTTP API. Модули неправильно запускают всю проверку файлов, что вызывает уязвимость обхода доступа. Злоумышленник может загружать файлы, которые обходят процесс проверки файлов, реализованный модулями на сайте.
CVE-2020-13665Уязвимость обхода доступа в Drupal Core позволяет JSON:API, когда JSON:API находится в режиме чтения/записи. Уязвимы только сайты, у которых для read_only установлено значение FALSE в разделе jsonapi.settings config. Эта проблема затрагивает: Drupal Drupal Core версии 8.8.x до 8.8.8; версии 8.9.x до 8.9.1; версии 9.0.x до 9.0.1.
CVE-2019-6342Существует уязвимость обхода доступа, когда включен экспериментальный модуль Workspaces в ядре Drupal 8. Это можно смягчить, отключив модуль Workspaces. Это не влияет ни на какой другой выпуск, кроме Drupal 8.7.4.
CVE-2019-6339В Drupal Core версий 7.x до 7.62, 8.6.x до 8.6.6 и 8.5.x до 8.5.9; Существует уязвимость удаленного выполнения кода во встроенной в PHP обертке потока phar при выполнении файловых операций над ненадежным URI phar://. Некоторый код Drupal (основной, сторонний и пользовательский) может выполнять файловые операции над недостаточно проверенными пользовательскими входными данными, тем самым подвергаясь этой уязвимости. Эта уязвимость смягчается тем фактом, что такие пути кода обычно требуют доступа к административным правам или нетипичной конфигурации.
CVE-2019-11831Пакет PharStreamWrapper (aka phar-stream-wrapper) 2.x до версии 2.1.1 и 3.x до версии 3.1.1 для TYPO3 не предотвращает обход каталогов, что позволяет злоумышленникам обходить механизм защиты от десериализации, как показано на примере URL-адреса phar:///path/bad.phar/../good.phar.
CVE-2019-10910В Symfony до 2.7.51, 2.8.x до 2.8.50, 3.x до 3.4.26, 4.x до 4.1.12 и 4.2.x до 4.2.7, когда идентификаторы служб разрешают ввод пользователя, это может привести к SQL-инъекции и удаленному выполнению кода. Это связано с symfony/dependency-injection.
CVE-2018-7602Существует уязвимость удаленного выполнения кода в нескольких подсистемах Drupal 7.x и 8.x. Это потенциально позволяет злоумышленникам использовать несколько векторов атаки на сайте Drupal, что может привести к компрометации сайта. Эта уязвимость связана с ядром Drupal - Вышне критично - Удаленное выполнение кода - SA-CORE-2018-002. Как SA-CORE-2018-002, так и эта уязвимость эксплуатируются в дикой природе.
CVE-2018-7600Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6 и 8.5.x до 8.5.1 позволяет удалённым злоумышленникам выполнять произвольный код из-за проблемы, затрагивающей несколько подсистем с конфигурациями модулей по умолчанию или общими.
CVE-2017-6925В версиях Drupal 8 core до 8.3.7; Существует уязвимость в системе доступа к сущностям, которая может позволить нежелательный доступ для просмотра, создания, обновления или удаления сущностей. Это затрагивает только сущности, которые не используют или не имеют UUID, и сущности, которые имеют разные ограничения доступа для разных редакций одной и той же сущности.
CVE-2017-6920Drupal core 8 до версий 8.3.4 позволяет удаленным злоумышленникам выполнять произвольный код из-за того, что парсер PECL YAML небезопасно обрабатывает объекты PHP во время определенных операций.
CVE-2011-2715Уязвимость SQL-инъекции существует в Drupal 6.20 с Data 6.x-1.0-alpha14 из-за недостаточной очистки имен таблиц или имен столбцов.
CVE-2008-6171includes/bootstrap.inc в Drupal 5.x до 5.12 и 6.x до 6.6, когда сервер настроен для "виртуальных хостов на основе IP", позволяет удаленным злоумышленникам включать и выполнять произвольные файлы через заголовок HTTP Host.
CVE-2020-13671Ядро Drupal не очищает должным образом определенные имена файлов на загруженных файлах, что может привести к тому, что файлы будут интерпретированы как неправильные расширения и обслуживались как неправильный MIME-тип или выполнялись как PHP в некоторых конфигурациях хостинга. Эта проблема затрагивает: Drupal Drupal Core версии 9.0 до 9.0.8, 8.9 версии до 8.9.9, 8.8 версии до 8.8.11 и 7 версии до 7.74.
CVE-2020-13664Уязвимость произвольного выполнения PHP-кода в Drupal Core при определенных обстоятельствах. Злоумышленник может обманом заставить администратора посетить вредоносный сайт, что может привести к созданию тщательно названного каталога в файловой системе. С помощью этого каталога злоумышленник может попытаться взломать уязвимость удаленного выполнения кода. Серверы Windows, скорее всего, будут затронуты. Эта проблема затрагивает: Drupal Drupal Core версии 8.8.x до 8.8.8; версии 8.9.x до 8.9.1; версии 9.0.1 до 9.0.1.
CVE-2020-13663Уязвимость межсайтовой подделки запросов в Drupal Core Form API неправильно обрабатывает определенный ввод формы из межсайтовых запросов, что может привести к другим уязвимостям.
CVE-2016-6211Модуль User в Drupal 7.x до версии 7.44 позволяет удаленным аутентифицированным пользователям получать привилегии через векторы, включающие добавленный или пользовательский код, который запускает перестройку формы профиля пользователя.