オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Universally Unique IDentifier 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/07/05(木)02:20 AM)

今回は Universally Unique IDentifier という拡張モジュールだけです(D7 用)。

モジュール(重大性スコア)使用サイト数


Universally Unique IDentifier

オンラインの原文: Universally Unique IDentifier - Moderately critical - Arbitrary file upload - SA-CONTRIB-2018-045


概要

Universally Unique IDentifier モジュールを使うと、特にエンティティーをはじめとする Drupal オブジェクトに UUID(Universally unique identifier)を付与するための API を利用できる。

そのサービスの REST サーバーと組み合わせて使用した場合、任意のファイルをアップロードできるという脆弱性が生じる。

事実として、攻撃者には file create REST エンドポイントへのアップロードを許可する権限のある役割(ロール)がなくてはならないので、この脆弱性は軽減される。


解決方法


 Universally Unique IDentifier プロジェクト ページも参照。