Drupal Core の脆弱性について (SA-CORE-2025-004)

ANNAI

ANNAI株式会社

セキュリティ保護のイメージ

アドバイザリーID: SA-CORE-2025-004

プロジェクト: Drupal core
日付: 2025 年 3 月 19 日
セキュリティーリスク:中程度 リスクレベル13 (最大25) 
AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
脆弱性:Cross Site Scripting
影響を受けるバージョン:>= 8.0.0 < 10.3.14 || >= 10.4.0 < 10.4.5 || >= 11.0.0 < 11.0.13 || >= 11.1.0 < 11.1.5

詳細

Drupal coreのLinkフィールド属性が十分にサニタイズされていないため、クロスサイトスクリプティング脆弱性(XSS)につながる可能性があります。

この脆弱性は、攻撃者がLinkフィールドに特定の属性を追加する能力を持つ必要があるという事実によって軽減されており、これは通常、coreのWebサービス、またはcontribもしくはカスタムモジュールを介した編集アクセス権限を必要とします。

Linkモジュールが無効になっているサイト、またはlinkフィールドを使用していないサイトは影響を受けません。

解決法

最新バージョンをインストールしてください:

・Drupal 10.3.xを使用している場合は、Drupal 10.3.14にアップデートしてください
・Drupal 10.4.xを使用している場合は、Drupal 10.4.5にアップデートしてください
・Drupal 11.0.xを使用している場合は、Drupal 11.0.13にアップデートしてください
・Drupal 11.1.xを使用している場合は、Drupal 11.1.5にアップデートしてください

Drupal 10.3より前のすべてのバージョンはサポート終了しており、Drupalセキュリティチームからのセキュリティカバレッジを受けていません。

本文は Drupal.org Security Advisory 「SA-CORE-2025-004」(CC BY-SA 2.0) を翻訳したものです。
原文: https://www.drupal.org/sa-core-2025-004

annai

ANNAI

ANNAI株式会社

ANNAIは、2009年からDrupal専門のWebシステム開発会社として、世界規模で展開するグローバル企業や大学・自治体を中心に数多くのWebソリューションを提供。 CoreやModuleのコントリビューターなど、Drupalエキスパートが多数在籍。国内ユーザーコミュニティへも積極的にコミットし、定期的なセミナーの等の開催を通じて、オープンソース技術の普及や海外コミュニティとの緊密な連携を図っている。 Webシステムの企画・開発〜デザイン、クラウド運用までをワンストップで提供する他、Drupalのコーディングを評価する"Audit業務"や最適なモジュールの調査・選定等、幅広いコンサルティング