ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2021-009

プロジェクト: Drupal core
日付: 2021 年 9 月 15 日
セキュリティーリスク:中程度 リスクレベル 10 (最大 25) 
AC:Basic/A:User/CI:Some/II:None/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:アクセス制限回避

詳細

QuickEdit モジュールは、一部の状況でフィールドへのアクセスを適切にチェックしないため、フィールドデータが意図せずに開示される可能性があります。
QuickEdit モジュール(標準プロファイルに付属)がインストールされている場合にのみ、サイトは影響を受けます。

このアドバイザリーは、Drupal Steward (訳注:日本語での説明)の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.2 をご利用の場合は Drupal 9.2.6 へアップデートしてください
  • Drupal 9.1 をご利用の場合は Drupal 9.1.13 へアップデートしてください
  • Drupal 8.9 をご利用の場合は Drupal 8.9.19 へアップデートしてください

Drupal 8 の 8.9.x 以前のバージョンと Drupal 9 の 9.1.x 以前のバージョンはサポート対象外です。

Drupal 7 コアは QucikEdit モジュールが付属していないので影響がありません。

また、QuickEdit モジュールをアンインストールすることでも、この脆弱性を緩和することができます。Drupal 10 では QuickEdit モジュールがコアから削除されるため、サイトオーナーはこのオプションを検討してもよいでしょう。

Kuniyoshi Toneの写真

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ