オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Select (or other) 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2018/07/26(木)02:01 AM)

今週は「Select (or other)」というモジュール 1 つだけです(名前が紛らわしいですね)。

モジュール(重大性スコア)使用サイト数



Select (or other)

オンラインの原文: Select (or other) - Moderately critical - Cross Site Scripting - SA-CONTRIB-2018-054


概要

Select (or other) モジュールを使うと、特定のフォーム要素でユーザーが「Other(その他)」を選択し、カスタム値を入力できるようにすることができる。

このモジュールは「Select or other(選択またはその他)」フォーマッターを使用した際、テキスト フィールドの値に対するエスケープ処理が不十分。

事実として、攻撃者には「Select or other(選択またはその他)」フォーマッターを通して表示されたフィールドを編集できるアクセス権限がなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。


 Select (or other) プロジェクト ページも参照。