オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Panopoly Core 7.x-1.x-dev

Drupal セキュリティーチームからの連絡です(日本時間 2017/12/14(木)04:25 AM~)

今回はモジュールが 1 つ。Panopoly というディストリビューションのコアです。Panopoly をベースにしている Open Academy、Open Atrium、Open Restaurant などにも関係しています。

モジュール名 該当バージョン(重大性スコア)使用サイト数

  • Panopoly Core 7.x-1.x-dev (13/25 重大性中程度): 9,762 sites

Panopoly Core

オンラインの原文: Panopoly Core - Moderately critical - Cross Site Scripting - SA-CONTRIB-2017-093


概要

Panopoly Core モジュールが提供する機能は、Panopoly ディストリビューションおよびそこから派生している Open Atrium など他のディストリビューション内にあるモジュールで使用される。

このモジュールでは、「ページ タイトルをサイトのパンくずに追加(Append Page Title to Site Breadcrumb)」設定が有効になっている場合、パンくずリストに使うノード タイトルに対するフィルター機能が不十分。

事実として、攻撃者にはコンテンツを作成できる役割(ロール)がないといけないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Panopoly Core モジュールを使用している場合は Panopoly Core 7.x-1.49 にアップデートする。