オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティー報告:Scroll to top、Super Login、External Links Filter、Forms Steps

Drupal セキュリティー チームからの連絡です(日本時間 2019/08/15(木)03:04 AM~)

今週は拡張モジュールが 4 つです。普及度の高い scroll to top の記事だけ日本語に訳しました。

モジュール(重大性スコア)使用サイト数



Scroll to top

オンラインの原文: scroll to top - Moderately critical - Cross site scripting - SA-CONTRIB-2019-061


概要

Scroll To Top モジュールを利用すると、ページのいちばん下にリンク ボタンを表示させ、そのボタンをクリックすることでページの先頭にスクロールできるようになる。

このモジュールでは、設定用のテキストに対するフィルター機能が不十分。このため、クロスサイト スクリプティングの脆弱性につながる。

事実として、この脆弱性を悪用するには「administer scroll to top(scroll to top を管理)」の権限がある役割(ロール)を持っている必要があるため、この問題は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Scroll to top モジュールを使用している場合は Scroll to top 7.x-2.2 にアップデートする。

Scroll to top プロジェクト ページも参照。