Проект: Drupal Core
Дата публикации: 20 апреля 2022
Риск безопасности: Умеренно критично 13∕25. AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Обход доступа

Описание

В Drupal 9.3 был реализован общий API для доступа к ревизиям сущностей. Однако данный API был не до конца интегрирован в существующие права доступа. Это привело к возможности обхода проверки доступа для пользователей, которые имеют права доступа к ревизиям материалов в целом, но не имеют доступа к сущностям, которые используются в тех ревизиях.

Это уязвимость затрагивает только сайты, использующую систему ревизий Drupal.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 9.3, обновитесь до Drupal 9.3.12.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества