{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Drupal ist ein freies Content-Management-System, basierend auf der Scriptsprache PHP und einer SQL-Datenbank. Über zahlreiche Extensions kann der Funktionsumfang der Core-Installation individuell erweitert werden.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter oder anonymer Angreifer kann mehrere Schwachstellen in Drupal ausnutzen, um Informationen offenzulegen und um einen Denial-of-Service-Zustand zu erzeugen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Sonstiges\n- UNIX\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-2126 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-2126.json" }, { "category" : "self", "summary" : "WID-SEC-2024-2126 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-2126" }, { "category" : "external", "summary" : "Drupal Security advisories vom 2024-09-11", "url" : "https://www.drupal.org/sa-contrib-2024-039" }, { "category" : "external", "summary" : "Drupal Security advisories vom 2024-09-11", "url" : "https://www.drupal.org/sa-contrib-2024-040" } ], "source_lang" : "en-US", "title" : "Drupal: Mehrere Schwachstellen ermöglichen Offenlegung von Informationen und Denial of Service", "tracking" : { "current_release_date" : "2025-01-09T23:00:00.000+00:00", "generator" : { "date" : "2025-01-10T13:17:17.266+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.10" } }, "id" : "WID-SEC-W-2024-2126", "initial_release_date" : "2024-09-11T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-09-11T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2025-01-09T23:00:00.000+00:00", "number" : "2", "summary" : "CVE's ergänzt" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "File Entity <7.x-2.39", "product" : { "name" : "Open Source Drupal File Entity <7.x-2.39", "product_id" : "T037590" } }, { "category" : "product_version", "name" : "File Entity 7.x-2.39", "product" : { "name" : "Open Source Drupal File Entity 7.x-2.39", "product_id" : "T037590-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:file_entity__7.x-2.39" } } }, { "category" : "product_version_range", "name" : "Security Kit <7.x-1.13", "product" : { "name" : "Open Source Drupal Security Kit <7.x-1.13", "product_id" : "T037591" } }, { "category" : "product_version", "name" : "Security Kit 7.x-1.13", "product" : { "name" : "Open Source Drupal Security Kit 7.x-1.13", "product_id" : "T037591-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:security_kit__7.x-1.13" } } }, { "category" : "product_version_range", "name" : "Security Kit <2.0.3", "product" : { "name" : "Open Source Drupal Security Kit <2.0.3", "product_id" : "T037592" } }, { "category" : "product_version", "name" : "Security Kit 2.0.3", "product" : { "name" : "Open Source Drupal Security Kit 2.0.3", "product_id" : "T037592-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:drupal:drupal:security_kit__2.0.3" } } } ], "category" : "product_name", "name" : "Drupal" } ], "category" : "vendor", "name" : "Open Source" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-13276", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in Drupal File Entity. Dieser Fehler besteht aufgrund einer unzureichenden Überprüfung der Existenz privater Zielordner, was dazu führt, dass Dateien in öffentlich zugänglichen Verzeichnissen abgelegt werden, wenn die erwarteten privaten Ordner nicht vorhanden sind. Ein entfernter, authentisierter Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben." } ], "product_status" : { "known_affected" : [ "T037590" ] }, "release_date" : "2024-09-11T22:00:00.000+00:00", "title" : "CVE-2024-13276" }, { "cve" : "CVE-2024-13275", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle im Drupal Security Kit. Dieser Fehler besteht aufgrund einer unzureichenden Validierung der Eingaben in den Berichten über Content Security Policy (CSP)-Verletzungen, was zu ungültigen Daten in den Protokollen führt und Fehler verursacht, wenn ein Protokollierungsmodul versucht, diese Meldungen zu analysieren. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Denial-of-Service-Zustand zu erzeugen." } ], "product_status" : { "known_affected" : [ "T037591", "T037592" ] }, "release_date" : "2024-09-11T22:00:00.000+00:00", "title" : "CVE-2024-13275" } ] }