漏洞标题
N/A
漏洞描述信息
在 Drupal 版本 8.4.x 之前版本8.4.5 的 Drupal 8.4.x 版本中,Settings Tray 模块有一个漏洞,允许用户更新他们无权访问的某些数据。如果您在贡献模块或自定义模块中实现了一个 Settings Tray 表单,请添加正确的访问检查。此版本修复了核心中唯一的两个实现,但并未对其他此类绕过进行硬化。可以通过禁用 Settings Tray 模块来缓解此漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
In Drupal versions 8.4.x versions before 8.4.5 the Settings Tray module has a vulnerability that allows users to update certain data that they do not have the permissions for. If you have implemented a Settings Tray form in contrib or a custom module, the correct access checks should be added. This release fixes the only two implementations in core, but does not harden against other such bypasses. This vulnerability can be mitigated by disabling the Settings Tray module.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Drupal Settings Tray模块安全漏洞
漏洞描述信息
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Settings Tray module是其中的一个Tray设置模块。 Drupal 8.4.5之前的8.4.x版本中的Settings Tray模块存在安全漏洞。攻击者可利用该漏洞更新数据。
CVSS信息
N/A
漏洞类别
代码问题