Drupal Core の脆弱性について (SA-CORE-2021-005)

アドバイザリーID: DRUPAL-SA-CORE-2021-005

プロジェクト: Drupal core
日付: 2021 年 8 月 12 日
セキュリティーリスク：中程度　リスクレベル 13 (最大 25) 
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性：サードパーティーライブラリー

詳細

Drupal プロジェクトでは、WYSIWYG 編集用のライブラリ CKEditor を使用しています。CKEditor は Drupal に影響を与えるセキュリティーアップデートをリリースしました。

Drupal が WYSIWYG 編集用の CKEditor ライブラリーの使用を許可するように設定されている場合に、脆弱性が発生する可能性があります。コンテンツを作成または編集できる攻撃者は（CKEditor 自体にアクセスできなくても）、1 つまたは複数のクロスサイトスクリプティング（XSS）脆弱性を悪用して、特権的なアクセス権を持つサイト管理者など、WYSIWYG CKEditor にアクセスできるユーザーを狙うことができる可能性があります。

詳しくは、CKEditor のリリースのお知らせをご覧ください。

対応方法

以下の最新バージョンをインストールしてください。

• Drupal 9.2 をご利用の場合は Drupal 9.2.4 へアップデートしてください
• Drupal 9.1 をご利用の場合は Drupal 9.1.12 へアップデートしてください
• Drupal 8.9 をご利用の場合は Drupal 8.9.18 へアップデートしてください

Drupal 8 の 8.9.x 以前のバージョンと Drupal 9 の 9.1.x 以前のバージョンはサポート対象外です。

Drupal 7 コアは影響を受けませんが、Drupal 7、8、9 のサイトオーナーは、Drupal セキュリティチームが以前に提案した外部ライブラリーとプラグインの管理プロトコルに従ってサイトを確認する必要があります。これは、contrib モジュールが Drupal コアにパッケージされていない CKEditor プラグインを追加使用している可能性があるためです。