ANNAIマガジン
security-protection-anti-virus-software
この記事の目次

アドバイザリー ID: DRUPAL-SA-CORE-2021-002


プロジェクト: Drupal core
日付: 2021年 4 月 21 日
セキュリティーリスク:危険 リスクレベル 15(最大 25)
AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:クロスサイトスクリプティング

詳細

Drupal core のサニタイジング API が、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできないという問題があります。

すべてのサイトやユーザーが影響を受けるわけではありませんが、悪用を防ぐために設定を変更することは現実的ではなく、変更内容もサイトによっても異なります。そのため、すべてのサイトができるだけ早くこのリリースにアップデートすることをお勧めします。


対応方法

最新版をインストールします。

  • Drupal 9.1 を使用している場合は、Drupal 9.1.7 にアップデートしてください。
  • Drupal 9.0 を使用している場合は、Drupal 9.0.12  にアップデートしてください。
  • Drupal 8.9 をお使いの場合は、Drupal 8.9.14 にアップデートしてください。
  • Drupal 7 を使用している場合は、Drupal 7.80 にアップデートしてください。

8.9.x より古い Drupal 8 のバージョンはサポートが終了していますのでセキュリティーアップデートは提供されません。

Kuniyoshi Toneの写真

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ