オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:bootstrap_carousel、Domain Integration、MoneySuite、Services single sign-on client、Cloud

Drupal セキュリティーチームからの連絡です(日本時間 2017/11/30(木)03:47 AM)

今回は拡張モジュールが 5 つですが、あまり普及していないものばかりです。いちばん使用サイトが多い bootstrap_carousel の記事だけ翻訳しました。必要に応じてそれぞれの原文をご覧ください。

モジュール名 該当バージョン(重大性スコア)使用サイト数


bootstrap_carousel

オンラインの原文: bootstrap_carousel - Moderately critical - Cross Site Scripting - SA-CONTRIB-2017-088


概要

bootstrap_carousel モジュールを利用すると bootstrap-carousel.js をベースにしたカルーセルを作成できるようになる。

このモジュールは HTML 内の img 要素に含まれた alt 属性の処理が不十分。

事実として、攻撃者は「Carousel: 新規コンテンツを作成」またはそれに類似した、モジュールが生成するコンテンツ タイプを作成/編集/削除するためのノード モジュール権限のある役割(ロール)を持っていなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の bootstrap_carousel モジュールを使用している場合は bootstrap_carousel 7.x-1.2 にアップデートする。