• 元記事:Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006
  • HP:Drupal
  • 発表日時2018/10/17

    コンテンツマネジメントシステム(CMS)のDrupalに複数の脆弱性が確認された。影響を受けるのはDrupal 7.x、8.6.x、8.5.xで、content moderationがユーザアクセスの検証に失敗し、バイパスされる脆弱性、pathモジュールが与えるURLエイリアスが悪意あるURLへのリダイレクトURLに設定可能な脆弱性が存在する。これらの脆弱性が悪用されると、攻撃者にリモートからシステムがコントロールされ、乗っ取られる恐れがある。解決策としてDrupal 7.60、Drupal 8.6.2、Drupal 8.5.8が公開されており、アップデートによりこの脆弱性は解消される。また、8.5.x以前を利用している場合にはサポート対象外のため、8.5.x以上にアップデートするよう呼び掛けている。