Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Drupal」に外部ライブラリに起因するXSS脆弱性

コンテンツマネジメントシステム(CMS)の「Drupal」にクロスサイトスクリプティング(XSS)の脆弱性が明らかとなった。

コア部分にて採用している外部ライブラリのHTMLエディタ「CKEditor」に起因するクロスサイトスクリプティング(XSS)の脆弱性が明らかとなったもの。同エディタのHTMLにおけるパース処理に不備があり、同エディタを有効化している場合に脆弱性の影響を受けるという。

脆弱性の重要度は、5段階中、上から3番目にあたる「Moderately Critical」とレーティング。「CKEditor」では、「同4.16.1」以降で修正が実施されており、開発チームでは「Drupal 9.1.9」「同9.0.14」「同8.9.16」にて対応した。

またモジュールなど、コア以外で同ライブラリを活用している場合は、それぞれで修正する必要があるとして注意を呼びかけている。

(Security NEXT - 2021/05/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Drupal」に複数脆弱性 - サードパーティ製ライブラリに起因
WordPress向けクイズプラグインに3件の脆弱性
「WordPress」にセキュリティアップデート - 4件の脆弱性を解消
「Movable Type」、10月の脆弱性対策が不十分で追加修正 - 至急アップデートを
「Movable Type」ベースの「PowerCMS」にも深刻な脆弱性
Mozillaの暗号ライブラリ「NSS」に深刻な脆弱性 - アップデートを公開
「baserCMS」の管理画面に複数の脆弱性 - アップデートで修正
「Drupal」にXSSの脆弱性、アップデートが公開 - 「同8」は最後の更新
脆弱な「Movable Type」狙う攻撃が発生中 - 更新や被害状況の確認を
「Movable Type 4」以降に深刻な脆弱性 - アップデートや回避策の実施を