SA-CORE-2020-006

Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 17 июня 2020
Риск безопасности: Менее критическое. 8/25 AC:Complex A:User CI:None II:Some E:Theoretical TD:Uncommon
Уязвимость: Обход доступа

¶Описание

PATCH запросы к JSON:API могут приниматься в обход проверки прав доступа для некоторых полей.

По умолчанию, JSON:API работает только в режиме чтения, что делает данную уязвимость нерабочей. Только сайты, которые установили read_only в значение FALSE в конфигурации jsonapi.settings подвержены опасности.

¶Решение

Обновиться до актуальных версий:

Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.8.
Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.1.
Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.1.

¶Ссылки

SA-CORE-2020-006 (англ.), drupal.org, 17 июня 2020

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества

Участники

Содержание