Drupal Core の脆弱性について (SA-CORE-2022-016)

The word 'security' on the screen
Table of content

アドバイザリーID: DRUPAL-SA-CORE-2022-016

プロジェクト: Drupal core
日付: 2022 年 9 月 28日
セキュリティーリスク:重大 リスクレベル 18 (最大 25)
AC:Basic/A:Admin/CI:All/II:All/E:Proof/TD:All
脆弱性:複数の脆弱性
CVE-2022-39261

詳細

Drupal はコンテンツのテンプレート化とサニタイズに Twig というサードパーティライブラリを使用しています。Twig は Drupal に影響するセキュリティーアップデートをリリースしました。Twig はこの脆弱性を「緊急度が高い」と評価しています。

Twig を拡張している Drupal コアのコードも、関連する脆弱性を軽減するために更新されました。

信頼できないユーザが Twig コードの書き込み権限を持つ場合に、プライベートファイル、サーバー上のファイルの内容、またはデータベース認証情報の不正な読み取りなどの、複数の脆弱性が発生する可能性があります。

この脆弱性は Drupal core の限定的なアクセス管理権限でのみ利用可能であるため、リスクは軽減されています。これにより、ユーザが Twig テンプレートを書くことができるコントリビューションコードやカスタムコードには、さらなる攻撃手段が存在する可能性があります。

対応方法

以下の最新バージョンをインストールしてください。

  • Drupal 9.4 をご利用の場合は Drupal 9.4.7 へアップデートしてください
  • Drupal 9.3 をご利用の場合は Drupal 9.3.22 へアップデートしてください

Drupal 9 のバージョンで 9.3.x より前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。Drupal 8 もすでにサポートが終了していることにご注意下さい。

Drupal 7 のコアは Twig を含まないのでこの脆弱性の影響はありません。

 

 
フッターの採用情報