Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05545

Опубликовано: 18 нояб. 2020
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Низкий

Описание

Уязвимость ядра CMS-системы Drupal связана с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

Drupal

Версия ПО

от 9.0 до 9.0.8 (Drupal)
от 8.9 до 8.9.9 (Drupal)
от 8.8 до 8.8.11 (Drupal)
от 7 до 7.74 (Drupal)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.drupal.org/sa-core-2020-012

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.04323
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-13671

CVSS3: 8.8
ubuntu
больше 4 лет назад

Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations. This issue affects: Drupal Drupal Core 9.0 versions prior to 9.0.8, 8.9 versions prior to 8.9.9, 8.8 versions prior to 8.8.11, and 7 versions prior to 7.74.

nvd логотип

CVE-2020-13671

CVSS3: 8.8
nvd
больше 4 лет назад

Drupal core does not properly sanitize certain filenames on uploaded files, which can lead to files being interpreted as the incorrect extension and served as the wrong MIME type or executed as PHP for certain hosting configurations. This issue affects: Drupal Drupal Core 9.0 versions prior to 9.0.8, 8.9 versions prior to 8.9.9, 8.8 versions prior to 8.8.11, and 7 versions prior to 7.74.

debian логотип

CVE-2020-13671

CVSS3: 8.8
debian
больше 4 лет назад

Drupal core does not properly sanitize certain filenames on uploaded f ...

github логотип

GHSA-68jc-v27h-vhmw

CVSS3: 8.8
github
больше 3 лет назад

Drupal core Unrestricted Upload of File with Dangerous Type

EPSS

Процентиль: 88%
0.04323
Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2