アドバイザリーID: DRUPAL-SA-CORE-2021-003

プロジェクト: Drupal core
日付: 2021年 5 月 27 日
セキュリティーリスク：中等度の危険　リスクレベル 14(最大 25) 14∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:Default
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性：クロスサイトスクリプティング

詳細

Drupalコアでは、サードパーティー製の CKEditor ライブラリーを使用しています。このライブラリーには、HTML の解析時にエラーがあり、XSS 攻撃を受ける可能性があります。CKEditor 4.16.1 以降には、この修正が含まれています。

Drupal コア以外の方法で CKEditor ライブラリーを使用しているユーザーは、サードパーティー製のコード（Drupal 7のWYSIWYGモジュールなど）を更新する必要があります。Drupal セキュリティチームは、Drupalコアに同梱されていないサードパーティーのライブラリに影響する問題については警告しない方針です。詳細は DRUPAL-SA-PSA-2016-004 を参照してください。

CKEditor が有効になっているサイトにのみ影響することで、この問題によるリスクが軽減されています。

対応方法

以下の最新バージョンをインストールしてください。

• Drupal 9.1 をご利用の場合は Drupal 9.1.9 へアップデートしてください
• Drupal 9.0 をご利用の場合は Drupal 9.0.14 へアップデートしてください
• Drupal 8.9 をご利用の場合は Drupal 8.9.16 へアップデートしてください

Drupal 8.9 以前のバージョンはサポート対象外です。