Drupal Core の脆弱性について (SA-CORE-2022-003)

The word 'security' on the screen
Table of content

アドバイザリーID: DRUPAL-SA-CORE-2022-003

プロジェクト: Drupal core
日付: 2022 年 2 月 16 日
セキュリティーリスク:中程度 リスクレベル 14 (最大 25) 
AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。) 
脆弱性:不適切な入力バリデーション

詳細

Drupal core のフォーム API には、特定のコントリビュートモジュールまたはカスタムモジュールのフォーム入力のバリデーションが不適切になる脆弱性があります。これにより、攻撃者は許可されていない値を注入したり、データを上書きしたりすることが可能になります。影響を受けるフォームはまれですが、特定のケースでは攻撃者が重要なデータや機密データを改ざんできる可能性があります。

このアドバイザリーは、Drupal Steward の対象外です。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.3 をご利用の場合は Drupal 9.3.6 へアップデートしてください
  • Drupal 9.2 をご利用の場合は Drupal 9.2.13 へアップデートしてください
  • Drupal 7 をご利用の場合は Drupal 7.88 へアップデートしてください

Drupal 9 のバージョンで 9.2 より以前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。
 

 
フッターの採用情報