「Drupal」にアクセス制御不備の脆弱性 - 更新後の挙動に注意
コンテンツマネジメントシステム(CMS)の「Drupal」にアクセス制御不備の脆弱性が明らかとなった。アップデートが提供されている。
コア部分に備わるファイルのダウンロード機能において、ユーザーより本来アクセスできないファイルに対してアクセスが可能となる脆弱性「CVE-2023-31250」が明らかとなったもの。
開発チームでは、重要度を5段階において上から3番目にあたる「Moderately Critical(中)」とレーティング。一方、GitHubでは、重要度をもっとも高い「クリティカル(Critical)」としており、評価がわかれている。
開発チームでは、「Drupal 10.0.8」「同9.5.8」「同9.4.14」「同7.96」にて脆弱性を修正した。一部サイトでは、更新後に設定の変更が必要となる場合があるとして注意を呼びかけている。
(Security NEXT - 2023/04/28 )
ツイート
PR
関連記事
AWSアカウントに不正アクセス、スパム送信の踏み台に - つくるAI
職員アカウントがフィッシング被害、情報流出のおそれも - 日大
システムがランサム被害、詳細を調査 - ウチヤマHD
「Parse Server」に認証回避の脆弱性 - 別アプリのトークンでログイン可能に
「i-フィルター」など複数製品に脆弱性 - 修正版をリリース
米当局、「Ivanti EPM」など3製品の脆弱性悪用に注意喚起
教員アカウントがスパム送信の踏み台に - 鹿児島県立短大
ECサイトで個人情報が表示、設定不備で - FABRIC TOKYO
業務用携帯電話を紛失、虚偽報告の職員を処分 - 長浜市
校外学習先で生徒の個人情報含む書類を紛失 - 大阪府立高
