ANNAI
ANNAI株式会社
アドバイザリーID: DRUPAL-SA-CORE-2022-003
プロジェクト: Drupal core
日付: 2022 年 2 月 16 日
セキュリティーリスク:中程度 リスクレベル 14 (最大 25)
AC:Basic/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon
(リスクレベルの詳細説明は https://www.drupal.org/drupal-security-team/security-risk-levels-defined を参照してください。)
脆弱性:不適切な入力バリデーション
詳細
Drupal core のフォーム API には、特定のコントリビュートモジュールまたはカスタムモジュールのフォーム入力のバリデーションが不適切になる脆弱性があります。これにより、攻撃者は許可されていない値を注入したり、データを上書きしたりすることが可能になります。影響を受けるフォームはまれですが、特定のケースでは攻撃者が重要なデータや機密データを改ざんできる可能性があります。
このアドバイザリーは、 Drupal Steward の対象外です。
対応方法
以下の最新バージョンをインストールしてください。
- Drupal 9.3 をご利用の場合は Drupal 9.3.6 へアップデートしてください
- Drupal 9.2 をご利用の場合は Drupal 9. 2.13 へアップデートしてください
- Drupal 7 をご利用の場合は Drupal 7.88 へアップデートしてください
Drupal 9 のバージョンで 9.2 より以前のものは全てサポートが終了しており、セキュリティーリリースの適用を受けることはできません。 Drupal 8 もすでにサポートが終了している ことにご注意下さい。
