Некоторые типы полей не правильно очищают данные из несформированных источников в Drupal 8.5.x до 8.5.11 и Drupal 8.6.x до 8.6.10. Это може…
Некоторые типы полей не правильно очищают данные из несформированных источников в Drupal 8.5.x до 8.5.11 и Drupal 8.6.x до 8.6.10. Это может привести к выполнению произвольного PHP-кода в некоторых случаях. Сайт подвержен этой проблеме только если выполнено одно из следующих условий: Сайт включает модуль RESTful Web Services (rest) ядра Drupal 8 и разрешает PATCH или POST запросы, или сайт имеет включенный другой модуль веб-сервисов, такой как JSON:API в Drupal 8 или Services или RESTful Web Services в Drupal 7. (Примечание: Модуль Services для Drupal 7 в настоящее время не требует обновления, но вы должны применить другие предлагаемые обновления, связанные с этой рекомендацией, если Services используется.)
Продукт десериализует ненадёжные данные без достаточной проверки того, что полученные данные окажутся допустимыми.
https://cwe.mitre.org/data/definitions/502.html →Открыть в коллекции CWE →Злоумышленник пытается эксплуатировать приложение путём внедрения дополнительного вредоносного содержимого в процессе обработки сериализованных объектов. Разработчики используют сериализацию для преобразования данных или состояния в статичный двоичный формат с целью сохранения на диск или передачи по сети. Впоследствии эти объекты десериализуются для восстановления данных/состояния. Внедряя некорректный объект в уязвимое приложение, злоумышленник потенциально может скомпрометировать его, манипулируя процессом десериализации. Это может привести к ряду нежелательных последствий, включая удалённое выполнение кода.
https://capec.mitre.org/data/definitions/586.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| drupal7 | Эксплуатируется | |
| drupal7 | Эксплуатируется | |
| drupal7 | Эксплуатируется | |
| drupal | * | Эксплуатируется |