ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2023-004

プロジェクト: Drupal core
日付: 2023 年 3 月 15日
セキュリティーリスク:中程度 リスクレベル 14 (最大 25)
AC:Complex/A:Admin/CI:All/II:All/E:Theoretical/TD:Uncommon
脆弱性:アクセス制限の迂回
影響を受けるバージョン:<7.95 || >=8.0.0 <9.4.12 || >=9.5.0 <9.5.5 || >=10.0.0 <10.0.5

詳細

Drupal コアはPHP の設定を診断するための補助として、phpinfo() を表示するページを提供しています。

攻撃者が特権ユーザに対して XSS による攻撃に成功した場合、phpinfo ページを使用して、攻撃のエスカレーションに使用できる機密情報にアクセスできる可能性があります。

この脆弱性を悪用するためには、XSS による攻撃に成功する必要があるので、脆弱性のリスクは低減されます。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 10.0 をご利用の場合は Drupal 10.0.5 へアップデートしてください
  • Drupal 9.5 をご利用の場合は Drupal 9.5.5 へアップデートしてください
  • Drupal 9.4 をご利用の場合は Drupal 9.4.12 へアップデートしてください
  • Drupal 7 をご利用の場合は Drupal 7.95 へアップデートしてください

Drupal 9 のバージョンで 9.4.x より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。

 
フッターの採用情報
 
Kuniyoshi Toneの写真

この記事を書いた人: Kuniyoshi Tone

ANNAI株式会社

デジタルマーケティングを担当。金剛山を遠くに眺めて大阪からリモートワークしています。

 

関連コンテンツ