Drupal: SA-CORE-2020-007

Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 16 сентября 2020
Риск безопасности: Умеренно критическое. 14/25 AC:Basic A:User CI:Some II:Some E:Theoretical TD:All
Уязвимость: Межсайтовый скриптинг

¶Описание

Drupal AJAX API по умолчанию не отключает JSONP, что может привести к мемжсайтовому скриптингу.

¶Решение

Обновиться до актуальных версий:

Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.10.
Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.6.
Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.6.

Если вы ранее использовали Drupal AJAX API для отправки JSONP запросов, вам необходимо добавить к таким запросам опцию "jsonp: true" или использовать jQuery AJAX напрямую.

Если вы используете jQuery AJAX в контрибных или кастомных модулях, вам необходимо что вы задаёте опцию "jsonp: true".

¶Ссылки

SA-CORE-2020-007 (англ.), drupal.org, 16 сентября 2020

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества