ANNAI magazine
Drupal Coreの脆弱性-SA-CORE-2019-004
この記事の目次

アドバイザリ ID: DRUPAL-SA-CORE-2019-004
プロジェクト: Drupal core
日付: 2019年3月20日
セキュリティリスク:中程度に危険 リスクレベル 13(最大25)  AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default (リスクレベルの詳細説明はhttps://www.drupal.org/drupal-security-team/security-risk-levels-definedを参照してください。) 
脆弱性:クロスサイトスクリプティング

詳細

ある特定の条件下において、Fileモジュール(またはサブシステム)が悪意のあるユーザーからのクロスサイトスクリプティング(XSS)を引き起こす可能性のあるファイルのアップロードを可能にします。

対応方法

  • Drupal 8.6の場合はDrupal 8.6.13へアップデート
  • Drupal 8.5またはそれ以前の場合はDrupal 8.5.14へアップデート
  • Drupal 7の場合はDrupal 7.65へアップデート

Drupal 8の8.5.xより古いバージョンはサポートが終了していますのでセキュリティアップデートは提供されません。8.5.14または8.6.13へのアップグレードが必要です。

追加情報:同日に発表されたモジュールの脆弱性について

以下のモジュールの脆弱性も発表されました。該当するモジュールを利用されている方はアップデートを実施してください。