オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Module Filter 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/03/28(木)02:43 AM)

今週は拡張モジュール Module Filter 7.x だけです。

モジュール(重大性スコア)使用サイト数



Module Filter

オンラインの原文: Module Filter - Moderately critical - Cross site scripting - SA-CONTRIB-2019-042


概要

Module Filter モジュールを利用すると、モジュール管理ページ上でモジュールのリストにフィルターをかけ、パッケージを垂直タブに分けて整理できる。

このモジュールは、垂直タブを利用した場合、HTML コードに対するエスケープ処理が不十分なため、クロスサイト スクリプティング(XSS)の脆弱性につながる可能性がある。

事実として、攻撃者は、たとえば、1 つのブロック内にモジュール管理ページが表示された場合(特殊な設定)、そこに含まれている入力フィルターのかかった HTML コードにアクセスできなくてはならない。また、その際、Module Filter vertical tabs(垂直タブ)設定が有効になっていなくてはならない。このため、この脆弱性は軽減される。

解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Module Filter モジュールを使用している場合は Module Filter 7.x-2.2 にアップデートする。

Module Filter プロジェクト ページも参照。