オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Taxonomy Term Reference Tree Widget 7.x、Sagepay 7.x-1.4

Drupal セキュリティーチームからの連絡です(日本時間 2018/02/01(木)03:26 AM~)

今週は拡張モジュールが 2 つです。そのうち、普及率が高い Taxonomy Term Reference Tree Widget の情報だけ訳しました。もう一方のモジュール Sagepay については原文をご覧ください。

モジュール名(重大性スコア)使用サイト数


Taxonomy Term Reference Tree Widget

オンラインの原文: Taxonomy Term Reference Tree Widget - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-006


概要

Taxonomy Term Reference Tree Widget モジュールは、Drupal 7 の Taxonomy Term Reference フィールドに、折りたたんだり開いたりできるツリー表示ウィジェットを付けてくれる。

このモジュールでは、モジュール自体が定義するフィールド フォーマッターの出力をサニタイズする機能が不十分。

事実として、攻撃者には、このモジュールが自身の出力を処理するタクソノミーのタームを編集する権限のある役割(ロール)がなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。