Ryunosuke Matsuoka
DrupalCMSラボ 編集部
アドバイザリーID: SA-CORE-2025-007
プロジェクト: Drupal core
日付: 2025 年 11 月 12 日
セキュリティーリスク:Moderately critical
10 ∕ 25 AC:Basic/A:None/CI:None/II:None/E:Theoretical/TD:All
脆弱性:Defacement
影響を受けるバージョン:>= 8.0.0 < 10.4.9 || >= 10.5.0 < 10.5.6 || >= 11.0.0 < 11.1.9 || >= 11.2.0 < 11.2.8
詳細
攻撃者が悪意のあるURLを生成し、ユーザーを騙してアクセスさせることで、サイトの改ざんを実行することができます。
この改ざんは保存されず、その目的で作成されたURLにアクセスした場合にのみ表示されます。改ざんされた内容のみが表示され、ブランディングなどの他のサイトコンテンツはレンダリングされません。
解決法
最新バージョンをインストールしてください:
- Drupal 10.4をご利用の場合は、Drupal 10.4.9にアップデートしてください。
- Drupal 10.5をご利用の場合は、Drupal 10.5.6にアップデートしてください。
- Drupal 11.1をご利用の場合は、Drupal 11.1.9にアップデートしてください。
- Drupal 11.2をご利用の場合は、Drupal 11.2.8にアップデートしてください。
Drupal 11.0.x、Drupal 10.3.x以下はサポート終了しており、セキュリティサポートを受けることができません。(Drupal 8およびDrupal 9はどちらもサポート終了しています。)
本文は Drupal.org Security Advisory 「SA-CORE-2025-007」(CC BY-SA 2.0) を翻訳したものです。
原文: https://www.drupal.org/sa-core-2025-007
