ANNAIマガジン
The word 'security' on the screen
この記事の目次

アドバイザリーID: DRUPAL-SA-CORE-2024-002

プロジェクト: Drupal core
日付: 2024年10月16日
セキュリティーリスク:中程度 リスクレベル13 (最大25)
AC:Basic/A:None/CI:None/II:All/E:Theoretical/TD:Uncommon
脆弱性:不適切なエラー処理
影響を受けるバージョン:>=10.0 < 10.2.10

詳細

特定のサイト設定において、CKEditor 5モジュールのバグにより、ある画像アップロードが原因で、ウェブルート全体がファイルシステム上の別の場所に移動してしまう可能性があります。これは悪意のあるユーザーによって悪用され、サイトをダウンさせる可能性があります。

この問題は、複数の非デフォルトのサイト設定が同時に存在する場合にのみ発生するので、その影響範囲は狭いと考えられます。

解決法

以下の最新バージョンをインストールしてください。

  • Drupal 10.2をご利用の場合は Drupal 10.2.10へアップデートしてください
  • Drupal 10.3以上またはDrupal  7をご利用の場合には影響はありません

Drupal 10のバージョンで10.2より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません(Drupal 8および Drupal 9もすでにサポートが終了しています)。

このアドバイザリはDrupal Steward の対象外です。

amazee.io 
Kuniyoshi Toneの写真

この記事を書いた人: Kuniyoshi Tone

ANNAI株式会社

デジタルマーケティングを担当。金剛山を遠くに眺めて大阪からリモートワークしています。