CMSのDrupalにクロスサイトスクリプティング 脆弱性 SA-CORE-2021-002 要アップデートということで、利用している場合は注意が必要です。
情報元はこちら
【セキュリティ ニュース】「Drupal」にXSS脆弱性、早急にアップデート実施を(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)の「Drupal」に脆弱性が明らかとなり、アップデートが提供されているとのことです。
同製品に「クロスサイトスクリプティング(XSS)」の脆弱性が明らかとなったもの。4月23日の段階でCVE番号は採番されておらず、「SA-CORE-2021-002」として識別されている。
具体的には、Drupalコアに含まれるサニタイズAPIにおいて、特定の状況下のクロスサイトスクリプティングを適切にフィルタリングできないという。
開発者によるリスクレベルのスコアは、最高値「25」のところ「15」で、5段階ある重要度で上から2番めにあたる「クリティカル(Critical)」とレーティングされている(Drupalの場合、もっとも高い重要度は「Highly Critical」)。
開発者は、「Drupal 9.1.7」「同9.0.12」「同8.9.14」「同7.80」をリリース。すべてのサイトとユーザーが脆弱性の影響を受けるわけではないが、攻撃を防ぐ構成変更は非現実的であるとし、今回リリースしたアップデートを可能な限り速やかに適用するよう呼びかけている。
続いて、公式サイトの情報です。
Drupalコア-クリティカル-クロスサイトスクリプティング-SA-CORE-2021-002
https://www.drupal.org/sa-core-2021-002
Project:Drupal core
Date:2021-April-21
Security risk:Critical 15∕25 AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Vulnerability:Cross-site scripting
脆弱性:
クロスサイトスクリプティング
説明:
DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。
すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。
解決:
最新バージョンをインストールします。
Drupal 9.1を使用している場合は、Drupal9.1.7に更新してください。
Drupal 9.0を使用している場合は、Drupal9.0.12に更新してください。
Drupal 8.9を使用している場合は、Drupal8.9.14に更新してください。
あなたは、Drupalの7、への更新を使用している場合のDrupal 7.80を。
8.9.xより前のバージョンのDrupal8はサポートが終了しており、セキュリティの対象外です。
報告者:
ジャスパー・マットソン