CVE-2023-5256

Опубликовано: 28 сент. 2023

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

This vulnerability only affects sites with the JSON:API module enabled, and can be mitigated by uninstalling JSON:API.

The core REST and contributed GraphQL modules are not affected.

Ссылки

https://www.drupal.org/sa-core-2023-006
Vendor Advisory
https://www.drupal.org/sa-core-2023-006
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 8.7.0 (включая) до 9.5.11 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 10.0.0 (включая) до 10.0.11 (исключая)

cpe:2.3:a:drupal:drupal:*:*:*:*:*:*:*:*

Версия от 10.1.0 (включая) до 10.1.4 (исключая)

EPSS

Процентиль: 70%

0.00622

Низкий

7.5 High

CVSS3

Дефекты

CWE-200

NVD-CWE-noinfo

Связанные уязвимости

CVE-2023-5256

CVSS3: 7.5

ubuntu

больше 2 лет назад

In certain scenarios, Drupal's JSON:API module will output error backtraces. With some configurations, this may cause sensitive information to be cached and made available to anonymous users, leading to privilege escalation. This vulnerability only affects sites with the JSON:API module enabled, and can be mitigated by uninstalling JSON:API. The core REST and contributed GraphQL modules are not affected.

CVE-2023-5256

CVSS3: 7.5

debian

больше 2 лет назад

In certain scenarios, Drupal's JSON:API module will output error backt ...

GHSA-rjqg-3h9m-fx5x

github

больше 2 лет назад

Cache poisoning in drupal/core

EPSS

Процентиль: 70%

0.00622

Низкий

7.5 High

CVSS3

Дефекты

CWE-200

NVD-CWE-noinfo