Drupal Core の脆弱性について (SA-CORE-2021-006)

この記事は「 Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-006 」の翻訳です。

この記事の目次

こんにちは、「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」サポート担当の刀祢(とね)です。

Drupal セキュリティーチームから Drupal コアのセキュリティーアドバイザリー（SA-CORE-2021-006）が発表されました。対象となっている Drupal をお使いの方はアップデートを実施してください。

アドバイザリーID: DRUPAL-SA-CORE-2021-006

プロジェクト: Drupal core
日付: 2021 年 9 月 15 日
セキュリティーリスク：中程度　リスクレベル 10 (最大 25)
AC:Basic/A:User/CI:None/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性：クロスサイトリクエストフォージェリー（CSRF）

詳細

Drupal コアの Media モジュールでは、コンテンツフィールドに内部および外部のメディアを埋め込むことができます。そこで用いられている Entity Embed モジュールは、コンテンツフィールドへのエンティティーの埋め込みを許可するフィルタを提供します。特定の状況下では、エンティティーを埋め込む権限を持つ信頼のおけるユーザーが特定のページにアクセスしたときに、権限のないユーザーがこのフィルターを介して同ページに HTML を注入することを許可してしまう可能性があります。場合によっては、クロスサイトスクリプティングにつながる可能性があります。

このアドバイザリーは、Drupal Steward （訳注：日本語での説明）の対象外です。

Entity Embed - Moderately critical - Cross Site Request Forgery - SA-CONTRIB-2021-028 も参照してください。この記事は、このモジュールの同様の脆弱性に対処するものです。