Ubuntu 16.04 ESM:Drupal 漏洞 (USN-4773-1)

critical Nessus 插件 ID 183539

简介

远程 Ubuntu 主机缺少一个或多个安全更新。

描述

远程 Ubuntu 16.04 ESM 主机上安装的一个程序包受到 USN-4773-1 公告中提及的多个漏洞影响。

- 6.35 之前的 6.x 和 7.35 之前的 7.x 版本 Drupal 允许远程身份验证的用户通过利用与另一个帐户具有相同密码哈希的帐户和特制的密码重置 URL 来重置其他帐户的密码。(CVE-2015-2559)

-6.35 之前的 6.x 和 7.35 之前的 7.x 版本 Drupal 中的开放重定向漏洞允许远程攻击者将用户重定向到任意网站,并通过目标参数中的 URL 进行网络钓鱼攻击。
(CVE-2015-2749)

- 6.35 之前的 6.x 和 7.35 之前的 7.x 版本 Drupal 中与 URL 相关的 API 功能的开放重定向漏洞允许远程攻击者将用户重定向到任意网站,并通过涉及 // 初始序列的向量进行网络钓鱼攻击。(CVE-2015-2750)

- 7.58 之前、8.3.9 之前的 8.x、8.4.6 之前的 8.4.x 和 8.5.1 之前的 8.5.x 版本 Drupal 允许远程攻击者执行任意代码,因为存在影响具有默认或通用模块配置的多个子系统的问题。(CVE-2018-7600)

- 在 Drupal 7.x 和 8.x 的多个子系统中存在一个远程代码执行漏洞。此漏洞可能允许攻击者利用 Drupal 站点上的多个攻击向量,可能导致该站点遭到破坏。此漏洞与 Drupal 核心 - 高度严重 - 远程代码执行 - SA-CORE-2018-002相关。SA-CORE-2018-002 和此漏洞正同时在通常环境中被利用。(CVE-2018-7602)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 drupal7 程序包。

另见

https://ubuntu.com/security/notices/USN-4773-1

插件详情

严重性: Critical

ID: 183539

文件名: ubuntu_USN-4773-1.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2023/10/20

最近更新时间: 2024/8/28

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Critical

分数: 9.0

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2018-7602

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:H/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:canonical:ubuntu_linux:drupal7, cpe:/o:canonical:ubuntu_linux:16.04:-:esm

必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/3/15

漏洞发布日期: 2015/3/18

CISA 已知可遭利用的漏洞到期日期: 2022/5/3, 2022/5/4

可利用的方式

Core Impact

Metasploit (Drupal Drupalgeddon 2 Forms API Property Injection)

Elliot (Drupal 8 SA-CORE-2018-002 RCE)

参考资料信息

CVE: CVE-2015-2559, CVE-2015-2749, CVE-2015-2750, CVE-2018-7600, CVE-2018-7602

IAVA: 2018-A-0095-S, 2018-A-0140-S

IAVB: 2015-B-0040-S

USN: 4773-1