平台
drupal
组件
drupal
修复版本
10.2.10
10.2.10
CVE-2024-11942是Drupal Core CKEditor 5模块中存在的一个漏洞,在某些不常见的站点配置下,可能导致图像上传将整个Web根目录移动到文件系统上的不同位置,恶意用户可能利用此漏洞使网站瘫痪。该漏洞影响Drupal Core 10.2.9及更早版本。此问题已在Drupal Core 10.2.10版本中修复。
Drupal Core 中发现了一个关键漏洞(CVE-2024-11942),特别是在 CKEditor 5 模块中。在某些不常见的网站配置下,此漏洞允许攻击者通过图像上传将网站的 Web 根目录移动到文件系统上的另一个位置。这可能导致网站不可用、拒绝服务(DoS)或在极端情况下,未经授权访问敏感数据。该漏洞的严重程度在 CVSS 规模上评为 5.9。为了减轻此风险,必须将 Drupal 更新到 10.2.10 或更高版本。
当恶意用户通过 CKEditor 5 编辑器在具有特定配置的 Drupal 网站上上传图像时,会触发此漏洞。这种配置通常涉及操作文件路径以及 CKEditor 5 如何与文件系统交互。攻击者可能会利用路径处理中的错误来强制移动 Web 根目录,从而中断服务。所需配置的复杂性使得利用变得不太可能,但并非不可能,尤其是在开发环境或具有自定义配置的网站上。
Drupal sites utilizing the CKEditor 5 module with non-standard configurations are at the highest risk. This includes sites with custom modules or themes that modify file upload behavior or permissions. Shared hosting environments where users have limited control over file system permissions are also potentially vulnerable.
• drupal: Check Drupal core version using drush --version. Review CKEditor 5 module configuration for non-default settings. Examine web server access logs for unusual file upload patterns.
drush --version• generic web: Monitor web server error logs for errors related to file system access or permission issues during image uploads. Use a WAF to detect and block suspicious file upload attempts.
disclosure
漏洞利用状态
EPSS
1.56% (81% 百分位)
CVSS 向量
好消息是,利用此漏洞需要非常具体的非标准网站配置组合。为了发生这种情况,必须同时满足几个要求,从而大大降低了典型网站容易受到攻击的可能性。但是,如果您的网站使用修改了 CKEditor 5 默认行为的自定义配置或扩展程序,则必须评估您的配置并尽快应用安全更新。升级到 Drupal 10.2.10 是最有效和推荐的解决方案。
Actualice Drupal Core a la versión 10.2.10 o superior. Esta actualización corrige la vulnerabilidad de manejo de errores. Realice una copia de seguridad de su sitio web antes de actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
该漏洞由涉及自定义文件路径和 CKEditor 5 与文件系统交互的非标准配置触发。确切的细节很复杂,并且取决于网站的配置。
如果无法立即更新,请评估您的网站配置,查找有关文件路径和 CKEditor 5 文件处理的非标准修改。有关更多信息,请参阅 Drupal 文档。
不。此漏洞仅影响具有特定且不常见的配置的网站。但是,更新对于避免潜在风险非常重要。
目前没有自动工具可以检测此漏洞。保护自己的最佳方法是更新到 Drupal 的最新版本。
您可以在 Drupal 网站以及国家漏洞数据库(NVD)等漏洞数据库中找到更多信息。
上传你的 composer.lock 文件,立即知道是否受影响。