Drupal Core の脆弱性について (SA-CORE-2021-011)

アドバイザリーID: DRUPAL-SA-CORE-2021-011

プロジェクト: Drupal core
日付: 2021 年 11 月 17 日
セキュリティーリスク：中程度　リスクレベル 13 (最大 25) 
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性：クロスサイトスクリプティング（XSS）

詳細

Drupal プロジェクトでは、WYSIWYG 編集に CKEditor ライブラリを使用しています。CKEditor に対して、Drupal に影響を与えるセキュリティーアップデートと、そのアップデートに対するホットフィックスがリリースされました。

脆弱性は、Drupal が WYSIWYG 編集用の CKEditor ライブラリーの使用を許可するように設定されている場合にあり得ます。コンテンツを作成または編集できる攻撃者（CKEditor 自体にアクセスできない場合を含む）は、1 つまたは複数のクロスサイトスクリプティング（XSS）脆弱性を悪用して、WYSIWYG CKEditor にアクセスできるユーザー（特権的なアクセス権を持つサイト管理者を含む）を狙うことができる可能性があります。

詳しくは、以下のCKEditorのセキュリティー・アドバイザリーをご覧ください。

• CVE-2021-41165: HTML comments vulnerability allowing to execute JavaScript code
• CVE-2021-41164: Advanced Content Filter (ACF) vulnerability allowing to execute JavaScript code using malformed HTML

このアドバイザリーは、Drupal Steward の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

• Drupal 9.2 をご利用の場合は Drupal 9.2.9 へアップデートしてください
• Drupal 9.1 をご利用の場合は Drupal 9.1.14 へアップデートしてください
• Drupal 8.9 をご利用の場合は Drupal 8.9.20 へアップデートしてください

9.1.x 以前のバージョンの Drupal はサポート終了となっており、対象外です。

なお、Drupal 8 はサポート終了となったため、今回のリリースが Drupal 8 向けの最後のセキュリティーリリースとなります。

Drupal 7 core には CKEditor モジュールが含まれていないため、影響はありません。