オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Workflow 7.x、Menu Item Extras 8.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/05/23(木)01:53 AM~)

今回は拡張モジュールが 2 つです。比較的、普及度が高い Workflow の記事だけ訳しました。

モジュール(重大性スコア)使用サイト数



Workflow 7.x

オンラインの原文: Workflow - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-049

  • プロジェクト:Workflow
  • バージョン:7.x(原文には記載なし)
  • 月日: 2019 年 05 月 15 日
  • セキュリティー リスク:13/25 (重大性 中程度)
    AC:Basic/A:Admin/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱(ぜいじゃく)性:クロスサイト スクリプティング

概要

Workflow モジュールを使うと、好きなようにワークフローを作ってエンティティに割り当てることができる。

このモジュールでは、フィールド セッティング内の HTML コードに対するエスケープ処理が不十分。このため、クロスサイト スクリプティング(XSS)の脆弱性につながる。

事実として、攻撃者は「administer nodes(ノードを管理)」、「administer workflow(ワークフローを管理)」の権限がある役割(ロール)を持っていなくてはならないので、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Workflow モジュールを使用している場合は Workflow 7.x-2.12 にアップデートする。