CVE-2020-13665

Опубликовано: 05 мая 2021

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

Access bypass vulnerability in Drupal Core allows JSON:API when JSON:API is in read/write mode. Only sites that have the read_only set to FALSE under jsonapi.settings config are vulnerable. This issue affects: Drupal Drupal Core 8.8.x versions prior to 8.8.8; 8.9.x versions prior to 8.9.1; 9.0.x versions prior to 9.0.1.

Ссылки

https://www.drupal.org/sa-core-2020-006
Vendor Advisory
https://www.drupal.org/sa-core-2020-006
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.8.0 (включая) до 8.8.8 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.9.0 (включая) до 8.9.1 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.0.1 (исключая)

EPSS

Процентиль: 68%

0.00581

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2020-13665

CVSS3: 9.8

ubuntu

около 4 лет назад

CVE-2020-13665

CVSS3: 9.8

debian

около 4 лет назад

Access bypass vulnerability in Drupal Core allows JSON:API when JSON:A ...

GHSA-wxqp-jwc9-g39x

CVSS3: 9.8

github

около 3 лет назад

Drupal Core Access bypass vulnerability

BDU:2021-04620

CVSS3: 9.8

fstec

около 5 лет назад

Уязвимость ядра CMS-системы Drupal, связанная с неправильной авторизацией, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

EPSS

Процентиль: 68%

0.00581

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo