PT-2022-8504 · Drupal · Drupal Core Json:Api Module

Brad Jones

·

Publicado

2022-02-11

·

Atualizado

2024-03-06

·

CVE-2020-13677

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Módulo JSON:API do núcleo do Drupal (versões afetadas não especificadas)
Descrição
O problema ocorre quando o módulo JSON:API do núcleo do Drupal não consegue restringir adequadamente o acesso a determinados conteúdos em circunstâncias específicas, o que pode levar a uma contornamento não intencional das restrições de acesso. É importante observar que os sites que não têm o módulo JSON:API ativado não são afetados.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Incorrect Authorization

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863CWE-284

Identificadores relacionados

BIT-DRUPAL-2020-13677
CVE-2020-13677
DRUPAL-CORE-2021-010
GHSA-3XR3-PHJP-G6P2

Produtos afetados

Drupal Core Json:Api Module