Проект: Drupal Core
Дата публикации: 16 февраля 2022
Риск безопасности: Умеренно критично 14∕25. AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
Уязвимость: Неправильная валидация ввода
¶Описание
Form API, предоставляемый Drupal, имеет уязвимость, при которой некоторые формы, предоставляемые сторонними или собственными модулями могут быть некорректно обработаны на этапе валидации. Это позволяет злоумышленнику передать не разрешенные данные или перезаписать уже имеющиеся данные. Формы, которые подвержены данной проблеме встречаются редко, но в некоторых ситуациях это может быть использовано для изменения критической или важной информации.
Убедитесь что в ваших в формах не используется ренде-элемент value
('#type' => 'value'
). Если данный элемент не используется на вашем проекте, вы не подвержены данной атаке.
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 9.3, обновитесь до Drupal 9.3.6.
- Если используете Drupal 9.2, обновитесь до Drupal 9.2.13.
¶Ссылки
- SA-CORE-2022-003 (англ.), drupal.org, 16 февраля 2022