ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2021-003

プロジェクト: Drupal core
日付: 2021年 5 月 27 日
セキュリティーリスク:中等度の危険 リスクレベル 14(最大 25) 14∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:クロスサイトスクリプティング

詳細

Drupalコアでは、サードパーティー製の CKEditor ライブラリーを使用しています。このライブラリーには、HTML の解析時にエラーがあり、XSS 攻撃を受ける可能性があります。CKEditor 4.16.1 以降には、この修正が含まれています。

Drupal コア以外の方法で CKEditor ライブラリーを使用しているユーザーは、サードパーティー製のコード(Drupal 7のWYSIWYGモジュールなど)を更新する必要があります。Drupal セキュリティチームは、Drupalコアに同梱されていないサードパーティーのライブラリに影響する問題については警告しない方針です。詳細は DRUPAL-SA-PSA-2016-004 を参照してください。

CKEditor が有効になっているサイトにのみ影響することで、この問題によるリスクが軽減されています。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.1 をご利用の場合は Drupal 9.1.9 へアップデートしてください
  • Drupal 9.0 をご利用の場合は Drupal 9.0.14 へアップデートしてください
  • Drupal 8.9 をご利用の場合は Drupal 8.9.16 へアップデートしてください

Drupal 8.9 以前のバージョンはサポート対象外です。

ANNAI株式会社の写真

この記事を書いた人 : ANNAI株式会社

ANNAIは、2009年からDrupal専門のWebシステム開発会社として、世界規模で展開するグローバル企業や大学・自治体を中心に数多くのWebソリューションを提供。
CoreやModuleのコントリビューターなど、Drupalエキスパートが多数在籍。国内ユーザーコミュニティへも積極的にコミットし、定期的なセミナーの等の開催を通じて、オープンソース技術の普及や海外コミュニティとの緊密な連携を図っている。
Webシステムの企画・開発〜デザイン、クラウド運用までをワンストップで提供する他、Drupalのコーディングを評価する"Audit業務"や最適なモジュールの調査・選定等、幅広いコンサルティングを行っている。Drupalアソシエーション公式パートナー。

関連コンテンツ