ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2021-011

プロジェクト: Drupal core
日付: 2021 年 11 月 17 日
セキュリティーリスク:中程度 リスクレベル 13 (最大 25) 
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:クロスサイトスクリプティング(XSS)

詳細

Drupal プロジェクトでは、WYSIWYG 編集に CKEditor ライブラリを使用しています。CKEditor に対して、Drupal に影響を与えるセキュリティーアップデートと、そのアップデートに対するホットフィックスがリリースされました。

脆弱性は、Drupal が WYSIWYG 編集用の CKEditor ライブラリーの使用を許可するように設定されている場合にあり得ます。コンテンツを作成または編集できる攻撃者(CKEditor 自体にアクセスできない場合を含む)は、1 つまたは複数のクロスサイトスクリプティング(XSS)脆弱性を悪用して、WYSIWYG CKEditor にアクセスできるユーザー(特権的なアクセス権を持つサイト管理者を含む)を狙うことができる可能性があります。

詳しくは、以下のCKEditorのセキュリティー・アドバイザリーをご覧ください。

このアドバイザリーは、Drupal Steward の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.2 をご利用の場合は Drupal 9.2.9 へアップデートしてください
  • Drupal 9.1 をご利用の場合は Drupal 9.1.14 へアップデートしてください
  • Drupal 8.9 をご利用の場合は Drupal 8.9.20 へアップデートしてください

9.1.x 以前のバージョンの Drupal はサポート終了となっており、対象外です。

なお、Drupal 8 はサポート終了となったため、今回のリリースが Drupal 8 向けの最後のセキュリティーリリースとなります。

Drupal 7 core には CKEditor モジュールが含まれていないため、影響はありません。

Kuniyoshi Toneの写真

この記事を書いた人 : Kuniyoshi Tone

ANNAI株式会社

企画推進・戦略立案を担当。あべのハルカスを遠くに眺めて大阪からリモートワークしています。好きなモジュールは今のところGutenbergとTomeです。

 

関連コンテンツ