{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um beliebigen Programmcode auszuführen und einen Cross-Site-Scripting-Angriff durchzuführen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges\n- UNIX\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-1791 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1791.json" }, { "category" : "self", "summary" : "WID-SEC-2024-1791 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1791" }, { "category" : "external", "summary" : "Drupal Security Advisories vom 2024-08-07", "url" : "https://www.drupal.org/sa-contrib-2024-027" }, { "category" : "external", "summary" : "Drupal Security Advisories vom 2024-08-07", "url" : "https://www.drupal.org/sa-contrib-2024-028" }, { "category" : "external", "summary" : "Drupal Security Advisories vom 2024-08-07", "url" : "https://www.drupal.org/sa-contrib-2024-029" } ], "source_lang" : "en-US", "title" : "Drupal: Mehrere Schwachstellen ermöglichen Codeausführung und Cross Site Scripting", "tracking" : { "current_release_date" : "2025-01-09T23:00:00.000+00:00", "generator" : { "date" : "2025-01-10T12:47:17.153+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.10" } }, "id" : "WID-SEC-W-2024-1791", "initial_release_date" : "2024-08-07T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-08-07T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2025-01-09T23:00:00.000+00:00", "number" : "2", "summary" : "CVE's ergänzt" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "Opigno <3.1.1", "product" : { "name" : "Open Source Drupal Opigno <3.1.1", "product_id" : "T036682" } }, { "category" : "product_version", "name" : "Opigno 3.1.1", "product" : { "name" : "Open Source Drupal Opigno 3.1.1", "product_id" : "T036682-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:opigno__3.1.1" } } }, { "category" : "product_version_range", "name" : "Opigno <3.1.2", "product" : { "name" : "Open Source Drupal Opigno <3.1.2", "product_id" : "T036683" } }, { "category" : "product_version", "name" : "Opigno 3.1.2", "product" : { "name" : "Open Source Drupal Opigno 3.1.2", "product_id" : "T036683-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:opigno__3.1.2" } } } ], "category" : "product_name", "name" : "Drupal" } ], "category" : "vendor", "name" : "Open Source" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-13263", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Drupal. Dieser Fehler betrifft den Opigno-Gruppenmanager aufgrund einer unsachgemäßen Behandlung und Validierung von Eingaben in einem Administrationsformular. Ein entfernter, authentisierter Angreifer mit der Berechtigung \"update group learning_path\" kann diese Schwachstelle ausnutzen, um beliebigen Code auszuführen." } ], "product_status" : { "known_affected" : [ "T036682" ] }, "release_date" : "2024-08-07T22:00:00.000+00:00", "title" : "CVE-2024-13263" }, { "cve" : "CVE-2024-13264", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in Drupal. Diese Fehler betreffen die Module Opigno und Learning Path aufgrund einer unzureichenden Validierung der hochgeladenen Dateien und aufgrund einer unsachgemäßen Kontrolle der Berechtigungen in administrativen Formularen, was den Upload von bösartigen Dateien ermöglicht. Ein entfernter authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff durchzuführen oder beliebigen Code auszuführen." } ], "product_status" : { "known_affected" : [ "T036682", "T036683" ] }, "release_date" : "2024-08-07T22:00:00.000+00:00", "title" : "CVE-2024-13264" }, { "cve" : "CVE-2024-13265", "notes" : [ { "category" : "description", "text" : "Es bestehen mehrere Schwachstellen in Drupal. Diese Fehler betreffen die Module Opigno und Learning Path aufgrund einer unzureichenden Validierung der hochgeladenen Dateien und aufgrund einer unsachgemäßen Kontrolle der Berechtigungen in administrativen Formularen, was den Upload von bösartigen Dateien ermöglicht. Ein entfernter authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um einen Cross-Site-Scripting-Angriff durchzuführen oder beliebigen Code auszuführen." } ], "product_status" : { "known_affected" : [ "T036682", "T036683" ] }, "release_date" : "2024-08-07T22:00:00.000+00:00", "title" : "CVE-2024-13265" } ] }