「Drupal」にXSS脆弱性、早急にアップデート実施を
コンテンツマネジメントシステム(CMS)の「Drupal」に脆弱性が明らかとなった。アップデートが提供されている。
同製品に「クロスサイトスクリプティング(XSS)」の脆弱性が明らかとなったもの。4月23日の段階でCVE番号は採番されておらず、「SA-CORE-2021-002」として識別されている。
具体的には、Drupalコアに含まれるサニタイズAPIにおいて、特定の状況下のクロスサイトスクリプティングを適切にフィルタリングできないという。
開発者によるリスクレベルのスコアは、最高値「25」のところ「15」で、5段階ある重要度で上から2番めにあたる「クリティカル(Critical)」とレーティングされている(Drupalの場合、もっとも高い重要度は「Highly Critical」)。
開発者は、「Drupal 9.1.7」「同9.0.12」「同8.9.14」「同7.80」をリリース。すべてのサイトとユーザーが脆弱性の影響を受けるわけではないが、攻撃を防ぐ構成変更は非現実的であるとし、今回リリースしたアップデートを可能な限り速やかに適用するよう呼びかけている。
(Security NEXT - 2021/04/23 )
ツイート
PR
関連記事
「PyTorch Lightning」に不正コード - 認証情報窃取のおそれ
「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
