Проект: Drupal Core
Дата публикации: 15 сентября 2021
Риск безопасности: Умеренно критично. Critical 14∕25 AC:Complex/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Подделка межсайтовых запросов
¶Описание
Модуль Quick Edit, поставляемый с ядром Drupal, не проверяет должным образом доступ к маршрутам, что при определённых обстоятельствах может привести к подделке межсайтовых запросов и к возможным проблемам с целостностью данных.
Сайты затронуты только в том случае, если установлен модуль Quick Edit (который включается по умолчанию при использовании стандартного профиля). Вам следует обновиться даже если у недоверенных пользователей нету прав доступа «access in-place editing», так как это не устраняет проблему полностью.
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.6.
- Если используете Drupal 9.1.x, обновитесь до Drupal 9.1.13.
- Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.19.
¶Ссылки
- SA-CORE-2021-007 (англ.), drupal.org, 15 сентября 2021