2025年2月20日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。
Security advisories(公式サイト)
- https://www.drupal.org/sa-core-2025-001
- https://www.drupal.org/sa-core-2025-002
- https://www.drupal.org/sa-core-2025-003
脆弱性の内容
SA-CORE-2025-001について
影響度
- 重大(Critical)
内容
- Drupal は、ある特定の状況下でエラーメッセージを十分にフィルター処理しないため、反射型クロスサイトスクリプティング脆弱性 (XSS) が発生します。
- XSSとは、悪質なスクリプトを埋め込ませたページやリンクなどへユーザーを誘導し、そのページやリンクを踏ませることでユーザーの情報を抜き取る攻撃手法です。
- このセキュリティーアップデートが発表された時点では、この脆弱性を悪用するための手段は公開されていませんが、早めにアップデートをすることが求められます。
対応方法
- Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください。
- Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください。
- Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください。
- Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください。
SA-CORE-2025-002について
影響度
- 中程度に重大(Moderately critical)
内容
- サイトにログインした後のコンテンツ一覧ページで、一括操作を行う機能の脆弱性です。
- 機能のバグにより、変更する権限のないフィールドであっても一括操作を用いるとフィールドに変更を加えることができる可能性があります。
- この脆弱性は、一括操作を行う権限を持っている必要があるため、影響は限定的です。
対応方法
- Drupal 10.3 を使用している場合は、Drupal 10.3.13にアップデートしてください。
- Drupal 10.4 を使用している場合は、Drupal 10.4.3にアップデートしてください。
- Drupal 11.0 を使用している場合は、Drupal 11.0.12にアップデートしてください。
- Drupal 11.1 を使用している場合は、Drupal 11.1.3にアップデートしてください。
SA-CORE-2025-003について
影響度
- 中程度に重大(Moderately critical)
内容
- Drupalには、潜在的なPHPの脆弱性があり、他の脆弱性と組み合わせると攻撃力をエスカレートさせてしまう危険性があります。
- この脆弱性は、攻撃者が他の脆弱性と組み合わせる必要があり、そのような脆弱性は現時点で存在しないため、緊急性はそれほど高くありません。
対応方法
- Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください。
- Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください。
- Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください。
- Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください。
弊社の対応
- 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。