ANNAI
ANNAI株式会社
アドバイザリーID: SA-CORE-2025-001
プロジェクト: Drupal core
日付: 2025 年 2 月 19 日
セキュリティーリスク:重大 リスクレベル17 (最大25)
AC:Basic/A:None/CI:Some/II:Some/E:Proof/TD:All
脆弱性:Cross site scripting
影響を受けるバージョン:>= 8.0.0 < 10.3.13 || >= 10.4.0 < 10.4.3 || >= 11.0.0 < 11.0.12 || >= 11.1.0 < 11.1.3
詳細
Drupalコアは、特定の状況下でエラーメッセージを十分にフィルタリングしておらず、反射型クロスサイトスクリプティング脆弱性(XSS)につながります。
サイトはアップデートすることが推奨されます。現時点では公開されたエクスプロイト方法は文書化されていませんが、この問題の性質上、近いうちに公開される可能性があります。
この問題はDrupal Stewardによって保護されています。Drupal Stewardを使用しているサイトはすでに保護されていますが、近い将来のアップグレードが推奨されます。
解決法
最新バージョンをインストールしてください:
・Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください
・Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください
・Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください
・Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください
Drupal 10の10.3より前のすべてのバージョンはサポート終了しており、セキュリティカバレッジを受けていません。(Drupal 8およびDrupal 9はどちらもサポート終了に達しています。)
本文は Drupal.org Security Advisory 「SA-CORE-2025-001」(CC BY-SA 2.0) を翻訳したものです。
原文: https://www.drupal.org/sa-core-2025-001
