Раскрытие информации при обработке URI файлов для путей к файлам (полям) в Drupal Paths File (Field) Paths 7.x до 7.1.3 в Drupal 7.x позволяет прошедшим проверку подлинности пользователям раскрывать личные файлы других пользователей посредством загрузки с конфликтом имен файлов. Это может привести к тому, что потребителиook_node_insert() (например, модули вложений электронной почты) получат неправильный URI файла, минуя обычные средства контроля доступа к личным файлам.
Показать оригинальное описание (EN)
Information disclosure in the file URI processing of File (Field) Paths in Drupal File (Field) Paths 7.x prior to 7.1.3 on Drupal 7.x allows authenticated users to disclose other users’ private files via filename‑collision uploads. This can cause hook_node_insert() consumers (for example, email attachment modules) to receive the wrong file URI, bypassing normal access controls on private files.
Характеристики атаки
Последствия
Строка CVSS v4.0