Проект: Drupal Core
Дата публикации: 16 сентября 2020
Риск безопасности: Умеренно критическое. 12/25 AC:Basic A:None CI:Some II:Some E:Theoretical TD:Default
Уязвимость: Обход доступа

Описание

Эксперементальный модуль Workspaces позволял создавать несколько рабочих областей на сайте в которымх черновики могли быть отредактированы перед публикацией в live рабочую область.

Модуль недостаточно эффективно проверял права доступа при смене рабочих областей, что могло приводить к обходу доступа. Злоумышленник может увидеть содержимое сайта прежде чем оно было бы опубликовано для всех.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.10.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.6.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.6.

Если сайт использует Workspaces и был обновлён, авторизованный пользователи по прежнему могут иметь доступ к рабочим областям что они получили ранее. Для того чтобы предотвратить несанкционированный доступ, рекомендуется «разавторизовать» всех пользователей сайта (например, очистив таблицу sessions). Обратите внимание на то, что это может иметь последствия, так как все пользователи будут вынужденый авторизоваться заново, а весь несохраненный ввод будет утерян.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.