Проект: Drupal Core
Дата публикации: 16 февраля 2022
Риск безопасности: Умеренно критично 14∕25. AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
Уязвимость: Неправильная валидация ввода

Описание

Form API, предоставляемый Drupal, имеет уязвимость, при которой некоторые формы, предоставляемые сторонними или собственными модулями могут быть некорректно обработаны на этапе валидации. Это позволяет злоумышленнику передать не разрешенные данные или перезаписать уже имеющиеся данные. Формы, которые подвержены данной проблеме встречаются редко, но в некоторых ситуациях это может быть использовано для изменения критической или важной информации.

Убедитесь что в ваших в формах не используется ренде-элемент value ('#type' => 'value'). Если данный элемент не используется на вашем проекте, вы не подвержены данной атаке.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 9.3, обновитесь до Drupal 9.3.6.
  • Если используете Drupal 9.2, обновитесь до Drupal 9.2.13.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества