nvd
Drupal
Уязвимости
860
Эксплуатируемые
7
Критический
28
Высокий
112
Топ продуктов
Drupal728Project Issue Tracking Module6Print5Aggregation Module4Everyblog4Project4Ubercart Module4Content Construction Kit3Drupal Project Issue Tracking3Shindig-integrator3Activity2Ajax Checklist2Artificial Intelligence2Bibliography Module2Brilliant Gallery2Chatroom Module2Cookies Consent Management2Custom Search Module2Data2Database Administration Module2
Топ уязвимостей
CVE-2013-0318Страница администратора в модуле Banckle Chat для Drupal неправильно ограничивает доступ, что позволяет удаленным злоумышленникам обходить предполагаемые ограничения через неуказанные векторы.
CVE-2009-3354Множественные неуказанные уязвимости в модуле Rest API для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3353Множественные неуказанные уязвимости в модуле Node2Node для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3352Множественные неуказанные уязвимости в модуле quota_by_role (Quota by role) для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3351Множественные неуказанные уязвимости в модуле Node Browser для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-3350Множественные неуказанные уязвимости в модуле Subdomain Manager для Drupal имеют неизвестное воздействие и векторы атак.
CVE-2009-1034SQL-инъекция в модуле Tasklist 5.x-1.x до 5.x-1.3 и 5.x-2.x до 5.x-2.0-alpha1, модуле для Drupal, позволяет удаленным злоумышленникам выполнять произвольные SQL-команды через значения в URI.
CVE-2008-0823Неуказанная уязвимость в Header Image Module до 5.x-1.1 для Drupal позволяет удаленным злоумышленникам получать доступ к страницам администрирования через неизвестные векторы атаки.
CVE-2008-0568Неуказанная уязвимость в функции IP-аутентификации в модуле Secure Site 5.x-1.0 и 4.7.x-1.0 для Drupal позволяет удаленным злоумышленникам получить привилегии пользователя, прошедшего аутентификацию из-за того же прокси-сервера, что и злоумышленник.
CVE-2024-55638Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 7.0 до 7.102, с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2024-55637Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9, с 11.0.0 до 11.0.8.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2024-55636Уязвимость десериализации ненадежных данных в Drupal Core позволяет осуществлять внедрение объектов. Эта проблема затрагивает Drupal Core: с 8.0.0 до 10.2.11, с 10.3.0 до 10.3.9, с 11.0.0 до 11.0.8.
Drupal core содержит цепочку методов, которые можно использовать, когда на сайте существует уязвимость небезопасной десериализации. Эта так называемая цепочка гаджетов не представляет прямой угрозы, но является вектором, который можно использовать для достижения удаленного выполнения кода, если приложение десериализует ненадежные данные из-за другой уязвимости.
CVE-2020-35191Официальные образы drupal docker до версии 8.5.10-fpm-alpine (только для Alpine) содержат пустой пароль для пользователя root. Система, использующая контейнер drupal docker, развернутый затронутыми версиями образа docker, может позволить удаленному злоумышленнику получить root-доступ с пустым паролем.
CVE-2020-13675Модули JSON:API и REST/File Drupal позволяют загружать файлы через свои HTTP API. Модули неправильно запускают всю проверку файлов, что вызывает уязвимость обхода доступа. Злоумышленник может загружать файлы, которые обходят процесс проверки файлов, реализованный модулями на сайте.
CVE-2020-13665Уязвимость обхода доступа в Drupal Core позволяет JSON:API, когда JSON:API находится в режиме чтения/записи. Уязвимы только сайты, у которых для read_only установлено значение FALSE в разделе jsonapi.settings config. Эта проблема затрагивает: Drupal Drupal Core версии 8.8.x до 8.8.8; версии 8.9.x до 8.9.1; версии 9.0.x до 9.0.1.
CVE-2019-6342Существует уязвимость обхода доступа, когда включен экспериментальный модуль Workspaces в ядре Drupal 8. Это можно смягчить, отключив модуль Workspaces. Это не влияет ни на какой другой выпуск, кроме Drupal 8.7.4.
CVE-2019-6339В Drupal Core версий 7.x до 7.62, 8.6.x до 8.6.6 и 8.5.x до 8.5.9; Существует уязвимость удаленного выполнения кода во встроенной в PHP обертке потока phar при выполнении файловых операций над ненадежным URI phar://. Некоторый код Drupal (основной, сторонний и пользовательский) может выполнять файловые операции над недостаточно проверенными пользовательскими входными данными, тем самым подвергаясь этой уязвимости. Эта уязвимость смягчается тем фактом, что такие пути кода обычно требуют доступа к административным правам или нетипичной конфигурации.
CVE-2019-19826Модуль Views Dynamic Fields до версии 7.x-1.0-alpha4 для Drupal выполняет небезопасные вызовы unserialize в handlers/views_handler_filter_dynamic_fields.inc, что демонстрируется внедрением PHP-объектов, включающим объект field_names и объект Archive_Tar, для удаления файлов. Также возможно выполнение кода.
CVE-2019-11831Пакет PharStreamWrapper (aka phar-stream-wrapper) 2.x до версии 2.1.1 и 3.x до версии 3.1.1 для TYPO3 не предотвращает обход каталогов, что позволяет злоумышленникам обходить механизм защиты от десериализации, как показано на примере URL-адреса phar:///path/bad.phar/../good.phar.
CVE-2019-10910В Symfony до 2.7.51, 2.8.x до 2.8.50, 3.x до 3.4.26, 4.x до 4.1.12 и 4.2.x до 4.2.7, когда идентификаторы служб разрешают ввод пользователя, это может привести к SQL-инъекции и удаленному выполнению кода. Это связано с symfony/dependency-injection.
CVE-2018-7602Существует уязвимость удаленного выполнения кода в нескольких подсистемах Drupal 7.x и 8.x. Это потенциально позволяет злоумышленникам использовать несколько векторов атаки на сайте Drupal, что может привести к компрометации сайта. Эта уязвимость связана с ядром Drupal - Вышне критично - Удаленное выполнение кода - SA-CORE-2018-002. Как SA-CORE-2018-002, так и эта уязвимость эксплуатируются в дикой природе.
CVE-2018-7600Drupal до 7.58, 8.x до 8.3.9, 8.4.x до 8.4.6 и 8.5.x до 8.5.1 позволяет удалённым злоумышленникам выполнять произвольный код из-за проблемы, затрагивающей несколько подсистем с конфигурациями модулей по умолчанию или общими.
CVE-2017-6925В версиях Drupal 8 core до 8.3.7; Существует уязвимость в системе доступа к сущностям, которая может позволить нежелательный доступ для просмотра, создания, обновления или удаления сущностей. Это затрагивает только сущности, которые не используют или не имеют UUID, и сущности, которые имеют разные ограничения доступа для разных редакций одной и той же сущности.
CVE-2017-6920Drupal core 8 до версий 8.3.4 позволяет удаленным злоумышленникам выполнять произвольный код из-за того, что парсер PECL YAML небезопасно обрабатывает объекты PHP во время определенных операций.
CVE-2014-5170Модуль Storage API 7.x до версии 7.x-1.6 для Drupal может позволить удаленным злоумышленникам выполнять произвольный код, используя неудачную попытку обновления содержимого файла .htaccess после SA-CORE-2013-003.