「Drupal」に3件の脆弱性 - 早急にアップデートを
コンテンツマネジメントシステム(CMS)である「Drupal」の開発チームは、現地時間2025年2月19日に3件のセキュリティアドバイザリを公開し、複数の脆弱性に対処したことを明らかにした。早急にアップデートを実施するよう呼びかけている。
いずれもコア部分に関する脆弱性で、アドバイザリの公表時点でCVE番号は示されていない。
識別子が「SA-CORE-2025-001」とされる脆弱性は、エラーメッセージをフィルタ処理する際の不具合に起因するクロスサイトスクリプティング(XSS)の脆弱性。重要度は5段階中、上から2番目にあたる「高(Critical)」とした。
また上から3番目にあたる「中(Moderately critical)」とされる脆弱性2件を解消している。具体的には、権限がないにも関わらず、複数のノードに対して一括操作が可能となる「SA-CORE-2025-002」や、PHPオブジェクトインジェクションの脆弱性「SA-CORE-2025-003」に対処した。
いずれも脆弱性の悪用は確認されていないが、「SA-CORE-2025-001」については、脆弱性の性質上、概念実証がすぐに公開されるおそれがあるという。
開発チームでは、脆弱性を解消した「Drupal 11.1.3」「同11.0.12」「同10.4.3」「同10.3.13」をリリース。早急に更新するよう呼びかけている。なお、「同9」「同8」についてはサポートが終了しており、アップデートの提供はないため注意が必要。
(Security NEXT - 2025/02/21 )
ツイート
PR
関連記事
脆弱性「Dirty Frag」が製品に与える影響を調査 - Fortinet
「Cisco Catalyst SD-WAN Manager」にゼロデイ脆弱性 - 悪用も確認
「Progress Kemp LoadMaster」にRCE脆弱性 - WAF回避のおそれも
「MOVEit WAF」に検知回避の深刻な脆弱性 - 早急な対策を
「Chrome」最新版で脆弱性429件を修正 - クリティカルは22件
「OpenStack Mistral」に脆弱性 - API認証ユーザーがコード実行可能
「Chrome 149」がリリース - セキュリティ情報は近日公開
「MLflow」にアクセスキーなど機密情報が流出する深刻な脆弱性
米当局、脆弱性3件を悪用カタログに追加 - 早期対応求める
「Cisco Unified CM」にクリティカル脆弱性 - 実証コードが公開済み
