Drupal Core の脆弱性について (SA-CORE-2022-004)

アドバイザリーID: DRUPAL-SA-CORE-2022-004

プロジェクト: Drupal core
日付: 2022 年 2 月 16 日
セキュリティーリスク：中程度　リスクレベル 12 (最大 25) 
AC:None/A:User/CI:Some/II:None/E:Theoretical/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性：情報漏洩

詳細

Quick Edit モジュールは、特定の状況下においてエンティティへのアクセスを適切にチェックしません。このため、「インプレース編集へのアクセス」権限を持つユーザーが、アクセス権限を持たないはずのコンテンツを閲覧してしまう可能性があります。

Quick Edit モジュール（Drupal の標準構成に含まれる）がインストールされている場合のみ、サイトに影響があります。

また、Quick Edit - Moderately critical - Information disclosure - SA-CONTRIB-2022-025 も参照してください。こちらは同様の脆弱性を持つコントリビュートモジュールへの対応です。

このアドバイザリーは、Drupal Steward の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

• Drupal 9.3 をご利用の場合は Drupal 9.3.6 へアップデートしてください
• Drupal 9.2 をご利用の場合は Drupal 9.2.13 へアップデートしてください

Drupal 9 のバージョンで 9.2 より以前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。

また、Quick Edit モジュールをアンインストールすることで、この脆弱性は軽減されます。Drupal 10 では Quick Edit モジュールがコアから削除されるため、サイトオーナーはこのオプションを検討することをお勧めします。