Drupal: SA-CORE-2020-009

Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 16 сентября 2020
Риск безопасности: Критическое. 15/25 AC:Basic A:None CI:Some II:Some E:Theoretical TD:Default
Уязвимость: Межсайтовый скриптинг

¶Описание

Drupal 8 и 9 при определённых обстоятельствах подверженый межсайтовому скриптингу.

Злоумышленник может использовать процесс рендера HTML для поражённых форм, чтобы воспользоваться уязвимостью.

¶Решение

Обновиться до актуальных версий:

Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.10.
Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.6.
Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.6.

Контриб и кастом которые перезаписывают методы \Drupal\Core\Form\FormBuilder::renderPlaceholderFormAction и/или \Drupal\Core\Form\FormBuilder::buildFormAction должны убедиться что они проводят должную сантизиацию для ссылок.

¶Ссылки

SA-CORE-2020-009 (англ.), drupal.org, 16 сентября 2020

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества