2023年9月21日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。
Security advisories(公式サイト)
SA-CORE-2023-006について
影響度
- 重大(Critical)
内容
- DrupalのJSON:APIモジュールに関する脆弱性です。
- JSON:APIモジュールが有効になっているサイトに影響し、アンインストールすることで脆弱性を軽減できます。
- 特定の状況下で、DrupalのJSON:APIモジュールはエラーのバックトレースを出力し、設定によっては機密情報がキャッシュ(一時的に保存)され、それを匿名ユーザが利用し、サイトに編集を加えられる可能性があります。
対応方法
- Drupal 10.1を使用している場合は、Drupal 10.1.4にアップデートしてください。
- Drupal 10.0を使用している場合は、Drupal 10.0.11にアップデートしてください。
- Drupal 9.5を使用している場合は、Drupal 9.5.11にアップデートしてください。
- 9.5より前のDrupal 9のすべてのバージョンはサポートが終了しており、セキュリティカバレッジを受けられません。Drupal 8はサポートが終了しています。
- Drupal 7は影響を受けません。
弊社の対応
- 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。