Проект: Drupal Core
Дата публикации: 15 сентября 2021
Риск безопасности: Умеренно критично. Critical 10∕25 AC:Basic/A:User/CI:None/II:Some/E:Theoretical/TD:Default
Уязвимость: Подделка межсайтовых запросов
¶Описание
Модуль Media, поставляемый с ядром Drupal, позволяет встраивать внутреннее и внешнее медиа содержимое в поля контента. При определённых обстоятельствах фильтр может позволить непривилегированному пользователю внедрить HTML на страницу, когда к ней обращается доверенный пользователь с доступом к встраиванию медиа. В некоторых случаях это может привести к межсайтовому скриптингу.
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.6.
- Если используете Drupal 9.1.x, обновитесь до Drupal 9.1.13.
- Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.19.
¶Ссылки
- SA-CORE-2021-006 (англ.), drupal.org, 15 сентября 2021