ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Drupalにクロスサイトスクリプティング 脆弱性 SA-CORE-2021-002 要アップデート

CMSDrupalクロスサイトスクリプティング 脆弱性 SA-CORE-2021-002 要アップデートということで、利用している場合は注意が必要です。

 

情報元はこちら

【セキュリティ ニュース】「Drupal」にXSS脆弱性、早急にアップデート実施を(1ページ目 / 全1ページ):Security NEXT

 

コンテンツマネジメントシステムCMS)の「Drupal」に脆弱性が明らかとなり、アップデートが提供されているとのことです。

 

同製品に「クロスサイトスクリプティングXSS)」の脆弱性が明らかとなったもの。4月23日の段階でCVE番号は採番されておらず、「SA-CORE-2021-002」として識別されている。

具体的には、Drupalコアに含まれるサニタイズAPIにおいて、特定の状況下のクロスサイトスクリプティングを適切にフィルタリングできないという。

開発者によるリスクレベルのスコアは、最高値「25」のところ「15」で、5段階ある重要度で上から2番めにあたる「クリティカル(Critical)」とレーティングされている(Drupalの場合、もっとも高い重要度は「Highly Critical」)。

開発者は、「Drupal 9.1.7」「同9.0.12」「同8.9.14」「同7.80」をリリース。すべてのサイトとユーザーが脆弱性の影響を受けるわけではないが、攻撃を防ぐ構成変更は非現実的であるとし、今回リリースしたアップデートを可能な限り速やかに適用するよう呼びかけている。

 

 

続いて、公式サイトの情報です。

 

Drupalコア-クリティカル-クロスサイトスクリプティング-SA-CORE-2021-002

https://www.drupal.org/sa-core-2021-002

 

Project:Drupal core
Date:2021-April-21
Security risk:Critical 15∕25 AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
Vulnerability:Cross-site scripting

脆弱性
クロスサイトスクリプティング
説明:
DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。

すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。

解決:
最新バージョンをインストールします。

Drupal 9.1を使用している場合は、Drupal9.1.7に更新してください。
Drupal 9.0を使用している場合は、Drupal9.0.12に更新してください。
Drupal 8.9を使用している場合は、Drupal8.9.14に更新してください。
あなたは、Drupalの7、への更新を使用している場合のDrupal 7.80を。
8.9.xより前のバージョンのDrupal8はサポートが終了しており、セキュリティの対象外です。

報告者:
ジャスパー・マットソン

 

Anker PowerCore Essential 20000 (モバイルバッテリー 超大容量 20000mAh) 【USB-C入力ポート/PSE技術基準適合/PowerIQ/低電流モード搭載】iPhone iPad Android 各種対応 (ブラック)