CVE-2019-6340
Оценки
Оценка EPSS
0.9441
CVSS
3.x 8.1
Вектор: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Все оценки CVSS
Вектор: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Вектор: AV:N/AC:M/Au:N/C:P/I:P/A:P
Описание
Некоторые типы полей не дезинфицируют данные из неформенных источников в Drupal 8.5.x до 8.5.11 и Drupal 8.6.x до 8.6.10. Это может привести к произвольному выполнению кода PHP в некоторых случаях. На сайт влияет только при выполнении одного из следующих условий: на сайте включен модуль RESTful Web Services (rest) ядро Drupal 8 и позволяет PATCH или POST-запросам, или на сайте включен другой модуль веб-сервисов, такой как JSON:API в Drupal 8, или сервисы или RESTful Web Services в Drupal 7. (Примечание: Сам модуль Drupal 7 Services не требует обновления в настоящее время, но вы должны применять другие внесенные обновления, связанные с этим консультативным, если Услуги используются.)
Источники
CWE
Эксплойты
Справочные ссылки
Уязвимое ПО
Тип: Конфигурация
Продукт: drupal7
Операционная система: ubuntu trusty 14.04
{
"unaffected": true
}Источник: ubuntu
Тип: Конфигурация
Продукт: drupal7
Операционная система: ubuntu xenial 16.04
{
"unaffected": true
}Источник: ubuntu
Тип: Конфигурация
Продукт: drupal7
Операционная система: debian
{
"unaffected": true
}Источник: debian
Тип: Конфигурация
Поставщик: drupal
Продукт: drupal
Операционная система: * * *
{
"cpe_match": [
{
"cpe23uri": "cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*",
"versionEndExcluding": "8.5.11",
"versionStartIncluding": "8.5.0",
"vulnerable": true
},
{
"cpe23uri": "cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*",
"versionEndExcluding": "8.6.10",
"versionStartIncluding": "8.6.0",
"vulnerable": true
}
],
"operator": "OR"
}Источник: nvd