Ryunosuke Matsuoka
DrupalCMSラボ 編集部
アドバイザリーID: SA-CORE-2025-008
プロジェクト: Drupal core
日付: 2025 年 11 月 12 日
セキュリティーリスク:Moderately critical
10 ∕ 25 AC:Complex/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon
脆弱性:Information disclosure
影響を受けるバージョン:>= 8.0.0 < 10.4.9 || >= 10.5.0 < 10.5.6 || >= 11.0.0 < 11.1.9 || >= 11.2.0 < 11.2.8
詳細
コアのsystemモジュールはプライベートファイルと一時ファイルのダウンロードを処理しています。コントリビュートモジュールは、systemモジュールによって処理される可能性がある追加の種類のファイル(スキーム)を定義できます。
場合によっては、キャッシュ不可であるべきファイルがCache-Control: publicHTTPヘッダーで配信される可能性があります。これにより、一部のユーザーがアクセスできてはいけない情報を含むファイルのキャッシュされたバージョンを取得する可能性があります。例えば、ファイルがVarnishやCDNによってキャッシュされる場合があります。
この脆弱性は以下によって軽減されます:
- 追加のファイルスキームを提供するカスタムまたはコントリビュートモジュールを使用して、非公開ファイルを処理するようにDrupalが構成されている必要があります。
- 攻撃者は、より権限のあるユーザーが以前に要求したファイルを要求することを知っており、そのファイルがまだキャッシュされている必要があります。
解決法
最新バージョンをインストールしてください:
- Drupal 10.4を使用している場合は、Drupal 10.4.9にアップデートしてください。
- Drupal 10.5を使用している場合は、Drupal 10.5.6にアップデートしてください。
- Drupal 11.1を使用している場合は、Drupal 11.1.9にアップデートしてください。
- Drupal 11.2を使用している場合は、Drupal 11.2.8にアップデートしてください。
Drupal 11.0.x、Drupal 10.3.x以下はサポート終了となっており、セキュリティ対応を受けていません。(Drupal 8およびDrupal 9は両方ともサポート終了に達しています。)
本文は Drupal.org Security Advisory 「SA-CORE-2025-008」(CC BY-SA 2.0) を翻訳したものです。
原文: https://www.drupal.org/sa-core-2025-008
