オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Easy Breadcrumb 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/06/20(木)02:36 AM)

今回は Drupal 7 用の拡張モジュールが 1 つだけです。

モジュール(重大性スコア)使用サイト数



Easy Breadcrumb 7.x

オンラインの原文: Easy Breadcrumb - Critical - Cross Site Scripting - SA-CONTRIB-2019-053


概要

Easy Breadcrumb モジュールを利用すると、現在の URL(パス エイリアス)とページ タイトルを自動的に取得してサイトにパンくずリスト機能を加えることができる。

このモジュールでは特定の状況においてユーザーの入力データに対するサニタイズ処理が不十分。

この脆弱性は悪用するのに特定の権限を必要としないが、デフォルトで有効に設定されている「Allow HTML tags in breadcrumb text(パンくず テキスト内の HTML タグを許可)」を無効化することで軽減できる。また、ブラウザーに搭載されているクロスサイト スクリプティング(XSS)対策機能が悪用を防ぐこともある。


解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Easy Breadcrumb モジュールを使用している場合は Easy Breadcrumb 7.x-2.17 にアップデートする。

Easy Breadcrumb プロジェクト ページも参照。