Sergii Bondarenko

**Nome do software vulnerável e versões afetadas** Versões do Drupal Core anteriores à 8.8.8 Versões do Drupal Core anteriores à 8.9.1 Versões do Drupal Core anteriores à 9.0.1 **Descrição** O problema está relacionado a uma autorização inadequada no módulo JSON:API do Drupal Core quando a configuração read only está definida como FALSE. Isso pode permitir que um invasor remoto acesse dados confidenciais, comprometa a integridade dos dados e, potencialmente, cause uma negação de serviço. A vulnerabilidade afeta sites com o JSON:API no modo de leitura/gravação. **Recomendações** Para versões anteriores à 8.8.8, atualize para a versão 8.8.8 ou posterior. Para versões anteriores à 8.9.1, atualize para a versão 8.9.1 ou posterior. Para versões anteriores à 9.0.1, atualize para a versão 9.0.1 ou posterior. Como solução temporária, considere definir a configuração read only como TRUE no arquivo de configuração jsonapi.settings para impedir a exploração.