ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2021-007

プロジェクト: Drupal core
日付: 2021 年 9 月 15 日
セキュリティーリスク:中程度 リスクレベル 14 (最大 25) 
AC:Complex/A:None/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:クロスサイトリクエストフォージェリー(CSRF)

詳細

QuickEdit モジュールはルーティング処理を適切に検証しないため、状況によってはクロスサイトリクエストフォージェリーが可能となり、データの整合性に問題が生じる可能性があります。

この問題は、QuickEdit モジュール(標準プロファイルに付属)がインストールされている場合にのみ発生します。信頼できないユーザーから「access in-place editing」パーミッションを削除しても、この脆弱性は完全には緩和されません。

このアドバイザリーは、Drupal Steward (訳注:日本語での説明)の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.2 をご利用の場合は Drupal 9.2.6 へアップデートしてください
  • Drupal 9.1 をご利用の場合は Drupal 9.1.13 へアップデートしてください
  • Drupal 8.9 をご利用の場合は Drupal 8.9.19 へアップデートしてください

Drupal 8 の 8.9.x 以前のバージョンと Drupal 9 の 9.1.x 以前のバージョンはサポート対象外です。

Drupal 7 コアは QucikEdit モジュールが付属していないので影響がありません。

また、QuickEdit モジュールをアンインストールすることでも、この脆弱性を緩和することができます。Drupal 10 では QuickEdit モジュールがコアから削除されるため、サイトオーナーはこのオプションを検討してもよいでしょう。

 
フッターの採用情報
 
Kuniyoshi Toneの写真

この記事を書いた人: Kuniyoshi Tone

ANNAI株式会社

デジタルマーケティングを担当。金剛山を遠くに眺めて大阪からリモートワークしています。

 

関連コンテンツ