В модуле интернационализации Drupal 7 (i18n) подмодуль i18n_node позволяет пользователю с разрешениями «Переводить контент» и «Администрировать переводы контента» просматривать и присоединять неопубликованные узлы через пользовательский интерфейс перевода и его виджет автозаполнения. Это обходит предполагаемый контроль доступа и раскрывает неопубликованные названия и идентификаторы узлов.
Эксплойт затрагивает версии от 7.x-1.0 до 7.x-1.35 включительно.
Показать оригинальное описание (EN)
In the Drupal 7 Internationalization (i18n) module, the i18n_node submodule allows a user with both "Translate content" and "Administer content translations" permissions to view and attach unpublished nodes via the translation UI and its autocomplete widget. This bypasses intended access controls and discloses unpublished node titles and IDs. Exploit affects versions 7.x-1.0 up to and including 7.x-1.35.
Характеристики атаки
Последствия
Строка CVSS v4.0