「Drupal」がアップデートをリリース - XSS対策が不完全な脆弱性など修正

コンテンツマネジメントシステム（CMS）である「Drupal」の開発チームは、深刻な脆弱性を修正するセキュリティアップデートをリリースした。

「同8」「同7」において複数の脆弱性が判明し、アップデートの提供を開始したもの。

開発チームによれば、クロスサイトスクリプティング（XSS）対策が不十分であることが両バージョンに判明。さらに「同8」では、フォームにおいて権限の昇格が生じる脆弱性が明らかとなった。いずれも重要度は、5段階中2番目に高い「クリティカル（Critical）」とレーティングされている。

このほか、「同8」では1段階低い「中（Moderately Critical）」の脆弱性2件、「同7」に関しても2件の脆弱性を修正したほか、さらに1段階低い「低（Less Critical）」の脆弱性1件が含まれる。

開発チームでは、修正版として「同8.4.5」「同7.57」をリリース。最新版にアップデートするよう求めている。

（Security NEXT - 2018/02/22 ） ツイート

PR

関連記事

公開情報からネット接続機器を検出、脆弱性を診断するサービス
10月中旬よりWPプラグイン「File Manager」の探索行為が増加
NETGEAR製スイッチの管理画面にCSRFの脆弱性
「JetBrains ToolBox」に深刻な脆弱性 - 開発者とNVDでわかれる評価
LINEで意図に反する大量の「グループ招待」「友だち追加」 - バグ検証から拡大か
「Drupal」にRCE脆弱性 - アップロードされたファイルの確認も
エプソン製品のインストーラに脆弱性 - 最新版の利用を
VMwareのアクセス管理製品に深刻な脆弱性 - パッチは準備中
「ウイルスバスター for Mac」旧版に複数脆弱性
Google、「Chrome 87」で33件のセキュリティに関する修正を実施