セキュリティアップデートSA-CORE-2023-006

2023年9月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。

Security advisories（公式サイト）

• https://www.drupal.org/sa-core-2023-006

SA-CORE-2023-006について

影響度

• 重大(Critical)

内容

• DrupalのJSON:APIモジュールに関する脆弱性です。
• JSON:APIモジュールが有効になっているサイトに影響し、アンインストールすることで脆弱性を軽減できます。
• 特定の状況下で、DrupalのJSON:APIモジュールはエラーのバックトレースを出力し、設定によっては機密情報がキャッシュ(一時的に保存)され、それを匿名ユーザが利用し、サイトに編集を加えられる可能性があります。

対応方法

• Drupal 10.1を使用している場合は、Drupal 10.1.4にアップデートしてください。
• Drupal 10.0を使用している場合は、Drupal 10.0.11にアップデートしてください。
• Drupal 9.5を使用している場合は、Drupal 9.5.11にアップデートしてください。
• 9.5より前のDrupal 9のすべてのバージョンはサポートが終了しており、セキュリティカバレッジを受けられません。Drupal 8はサポートが終了しています。
• Drupal 7は影響を受けません。

弊社の対応

• 今回の対応が必要なお客様（保守契約締結済み）には、個別にご連絡致しております。