Проект: Drupal Core
Дата публикации: 16 сентября 2020
Риск безопасности: Критическое. 15/25 AC:Basic A:None CI:Some II:Some E:Theoretical TD:Default
Уязвимость: Межсайтовый скриптинг

Описание

Drupal 8 и 9 при определённых обстоятельствах подверженый межсайтовому скриптингу.

Злоумышленник может использовать процесс рендера HTML для поражённых форм, чтобы воспользоваться уязвимостью.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.10.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.6.
  • Если используете Drupal 9.0.x, обновитесь до Drupal 9.0.6.

Контриб и кастом которые перезаписывают методы \Drupal\Core\Form\FormBuilder::renderPlaceholderFormAction и/или \Drupal\Core\Form\FormBuilder::buildFormAction должны убедиться что они проводят должную сантизиацию для ссылок.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.