オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Lightbox2、Search API Solr Search、NVP field (すべて 7.x)

Drupal セキュリティー チームからの連絡です(日本時間 2018/10/11(木)02:27 AM~)

今週は拡張モジュールが 3 つです。そのうち、普及度の高い 2 つの記事を訳しました。

モジュール(重大性スコア)使用サイト数



Lightbox2

オンラインの原文: Lightbox2 - Critical - Cross Site Scripting - SA-CONTRIB-2018-064


概要

Lightbox2 モジュールを利用すると、現在のページの上に画像をオーバーレイ表示することができる。

このモジュールは、カスタム ビューと組み合わせて使用した場合、入力内容の一部に対するサニタイズ処理が不十分。このため、クロスサイトスクリプティング(XSS)につながる可能性がある。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Lightbox2 モジュールを使用している場合は Lightbox2 7.x-2.11 にアップデートする。

 Lightbox2 プロジェクト ページも参照。


Search API Solr Search

オンラインの原文: Search API Solr Search - Moderately critical - Access bypass - SA-CONTRIB-2018-065


概要

Search API Solr Search モジュールは Apache Solr 検索エンジンと Drupal の Search API モジュールを利用した検索をサポートする。

このモジュールは、検索結果の抜粋を作成する際、検索したフルテキスト欄を十分に考慮しない。このため、特定の場合において機密情報が検索結果の抜粋の一部として漏えいする可能性がある。


解決方法

最新バージョンをインストールする。

 Search API Solr Search プロジェクト ページも参照。