オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Advanced Forum 7.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/06/27(木)01:29 AM)

今回も Drupal 7 用の拡張モジュールが 1 つだけです。

モジュール(重大性スコア)使用サイト数



Easy Breadcrumb 7.x

オンラインの原文: Advanced Forum - Critical - Cross Site Scripting - SA-CONTRIB-2019-054


概要

Advanced Forum モジュールは、Drupal コアの Forum モジュールをベースにしてそのフォーラム機能を拡張する。他の Drupal 拡張(貢献)モジュールと組み合わせた場合、Advanced Forum はその多くを自動的に使用し、スタンドアロンのソフトウェアに匹敵する機能を実現できる。

このモジュールでは特定の状況においてユーザーの入力データに対するサニタイズ処理が不十分。この脆弱性のある機能を無効化することはできない。

事実として、攻撃者はフォーラムのコンテンツを作成する権限のある役割(ロール)を持っていなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7 用の Advanced Forum モジュールを使用している場合は Advanced Forum 7.x-2.8 にアップデートする。

Advanced Forum プロジェクト ページも参照。