2025年2月20日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。 詳細は下記になります。

Security advisories(公式サイト)

脆弱性の内容

SA-CORE-2025-001について

影響度
  • 重大(Critical)
内容
  • Drupal は、ある特定の状況下でエラーメッセージを十分にフィルター処理しないため、反射型クロスサイトスクリプティング脆弱性 (XSS) が発生します。
  • XSSとは、悪質なスクリプトを埋め込ませたページやリンクなどへユーザーを誘導し、そのページやリンクを踏ませることでユーザーの情報を抜き取る攻撃手法です。
  • このセキュリティーアップデートが発表された時点では、この脆弱性を悪用するための手段は公開されていませんが、早めにアップデートをすることが求められます。
対応方法
  • Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください。
  • Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください。
  • Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください。
  • Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください。

SA-CORE-2025-002について

影響度
  • 中程度に重大(Moderately critical)
内容
  • サイトにログインした後のコンテンツ一覧ページで、一括操作を行う機能の脆弱性です。
  • 機能のバグにより、変更する権限のないフィールドであっても一括操作を用いるとフィールドに変更を加えることができる可能性があります。
  • この脆弱性は、一括操作を行う権限を持っている必要があるため、影響は限定的です。
対応方法
  • Drupal 10.3 を使用している場合は、Drupal 10.3.13にアップデートしてください。
  • Drupal 10.4 を使用している場合は、Drupal 10.4.3にアップデートしてください。
  • Drupal 11.0 を使用している場合は、Drupal 11.0.12にアップデートしてください。
  • Drupal 11.1 を使用している場合は、Drupal 11.1.3にアップデートしてください。

SA-CORE-2025-003について

影響度
  • 中程度に重大(Moderately critical)
内容
  • Drupalには、潜在的なPHPの脆弱性があり、他の脆弱性と組み合わせると攻撃力をエスカレートさせてしまう危険性があります。
  • この脆弱性は、攻撃者が他の脆弱性と組み合わせる必要があり、そのような脆弱性は現時点で存在しないため、緊急性はそれほど高くありません。
対応方法
  • Drupal 10.3.xを使用している場合は、Drupal 10.3.13にアップデートしてください。
  • Drupal 10.4.xを使用している場合は、Drupal 10.4.3にアップデートしてください。
  • Drupal 11.0.xを使用している場合は、Drupal 11.0.12にアップデートしてください。
  • Drupal 11.1.xを使用している場合は、Drupal 11.1.3にアップデートしてください。
弊社の対応
  • 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。