オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:FileField Sources 7.x、Entity Reference Tab / Accordion Formatter 8.x

Drupal セキュリティーチームからの連絡です(日本時間 2018/02/08(木)03:34 AM~)

今週は拡張モジュールが 2 つです。そのうち、普及率が高い FileField Sources の情報だけ訳しました。もう一方のモジュール Entity Reference Tab / Accordion Formatter については原文をご覧ください。

モジュール名(重大性スコア)使用サイト数


FileField Sources

オンラインの原文: FileField Sources - Moderately critical - Access Bypass - SA-CONTRIB-2018-007


概要

FileField Sources モジュールを利用すると、いくつかのソースを経由してフィールドにファイルをアップロードすることができる。

このモジュールでは、参照ソースのパスの自動補完機能を使った場合、アクセスコントロールの処理が不十分になる。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の FileField Sources モジュールを使用している場合は FileField Sources 7.x-1.11 にアップデートする。