{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in Drupal Plugins ausnutzen, um beliebigen Programmcode mit den Rechten des Dienstes auszuführen oder Sicherheitsvorkehrungen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2022-2336 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2022-2336.json" }, { "category" : "self", "summary" : "WID-SEC-2022-2336 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-2336" }, { "category" : "external", "summary" : "Drupal Security Advisory vom 2022-12-14", "url" : "https://www.drupal.org/sa-contrib-2022-065" }, { "category" : "external", "summary" : "Drupal Security Advisory vom 2022-12-14", "url" : "https://www.drupal.org/sa-contrib-2022-064" } ], "source_lang" : "en-US", "title" : "Drupal: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2022-12-14T23:00:00.000+00:00", "generator" : { "date" : "2024-08-15T17:40:02.800+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2022-2336", "initial_release_date" : "2022-12-14T23:00:00.000+00:00", "revision_history" : [ { "date" : "2022-12-14T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Open Source Drupal plugins", "product" : { "name" : "Open Source Drupal plugins", "product_id" : "T019608", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:plugins" } } } ], "category" : "vendor", "name" : "Open Source" } ] }, "vulnerabilities" : [ { "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Drupal im File (Field) Paths Modul. Die Standardkonfiguration des Moduls macht unter bestimmten Umständen vorübergehend private Dateien für anonyme Besucher zugänglich. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen." } ], "product_status" : { "known_affected" : [ "T019608" ] }, "release_date" : "2022-12-14T23:00:00.000+00:00" }, { "notes" : [ { "category" : "description", "text" : "Es existiert eine Schwachstelle in Drupal im H5P Modul. Das Modul verhindert nicht ausreichend Path-Traversal-Angriffe durch gezippte Dateinamen für die hochladbaren .h5p-Dateien. Ein Angreifer kann diese Schwachstelle ausnutzen, um Code zur Ausführung zu bringen." } ], "product_status" : { "known_affected" : [ "T019608" ] }, "release_date" : "2022-12-14T23:00:00.000+00:00" } ] }