2023年9月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。

Security advisories(公式サイト)

SA-CORE-2023-006について

影響度
  • 重大(Critical)
内容
  • DrupalのJSON:APIモジュールに関する脆弱性です。
  • JSON:APIモジュールが有効になっているサイトに影響し、アンインストールすることで脆弱性を軽減できます。
  • 特定の状況下で、DrupalのJSON:APIモジュールはエラーのバックトレースを出力し、設定によっては機密情報がキャッシュ(一時的に保存)され、それを匿名ユーザが利用し、サイトに編集を加えられる可能性があります。
対応方法
  • Drupal 10.1を使用している場合は、Drupal 10.1.4にアップデートしてください。
  • Drupal 10.0を使用している場合は、Drupal 10.0.11にアップデートしてください。
  • Drupal 9.5を使用している場合は、Drupal 9.5.11にアップデートしてください。
  • 9.5より前のDrupal 9のすべてのバージョンはサポートが終了しており、セキュリティカバレッジを受けられません。Drupal 8はサポートが終了しています。
  • Drupal 7は影響を受けません。
弊社の対応
  • 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。