オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Custom Permissions 8.x

Drupal セキュリティー チームからの連絡です(日本時間 2019/07/11(木)01:54 AM)

今週は Drupal 8 用の拡張モジュールが 1 つです。D7 用と比べると D8 用は大して普及していないのですが、参考情報として訳しました。

モジュール(重大性スコア)使用サイト数



Custom Permissions 8.x

オンラインの原文: Custom Permissions - Critical - Access bypass - SA-CONTRIB-2019-055


概要

Custom Permissions モジュールを利用すると、独自にカスタマイズした権限を管理 UI 上で追加、管理することができる。しかし、その管理ページ自体へのアクセス権限チェックが不十分。

事実として、攻撃者は Custom Permissions フォームのルートを知っていなくてはならないため、この脆弱性は軽減される。もっとも、そのルートを知ることは容易。


解決方法

最新バージョンをインストールする。

  • Drupal 8 用の Custom Permissions 8.x-1.1 モジュールを使用している場合は Custom Permissions 8.x-1.2 にアップデートする。

Custom Permissions プロジェクト ページも参照。