Проект: Drupal Core
Дата публикации: 17 июня 2020
Риск безопасности: Менее критическое. 8/25 AC:Complex A:User CI:None II:Some E:Theoretical TD:Uncommon
Уязвимость: Обход доступа

Описание

PATCH запросы к JSON:API могут приниматься в обход проверки прав доступа для некоторых полей.

По умолчанию, JSON:API работает только в режиме чтения, что делает данную уязвимость нерабочей. Только сайты, которые установили read_only в значение FALSE в конфигурации jsonapi.settings подвержены опасности.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.8.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.1.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.1.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.