セキュリティーアップデート　SA-CORE-2025-004 | 株式会社メタ・インフォ

2025年3月19日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。

Security advisories（公式サイト）

https://www.drupal.org/sa-core-2025-004

脆弱性の内容

SA-CORE-2025-004について

影響度

中程度に重要(Moderately Critical)

内容

Drupalのコンテンツを登録・更新時にリンクを追加できる、リンクフィールドに関わる脆弱性です。
リンクフィールドに追加するリンクに対して、十分にチェックがされないため、攻撃者が悪意のあるコードを仕込むことができる可能性があります。
しかし、サイトにログインして、リンクフィールドを編集できる権限を持っているユーザで無い限り、この脆弱性を悪用することはできません。
また、リンクモジュールが無効な場合や、リンクフィールドを使っていないサイトは、この問題の影響を受けません。

対応方法

Drupal 10.3.xを使用している場合は、Drupal 10.3.14にアップデートしてください。
Drupal 10.4.xを使用している場合は、Drupal 10.4.5にアップデートしてください。
Drupal 11.0.xを使用している場合は、Drupal 11.0.13にアップデートしてください。
Drupal 11.1.xを使用している場合は、Drupal 11.1.5にアップデートしてください。

最新の技術情報

2025-02-28: blog 【第2回】出発〜シンガポール初日

2025-02-20: security セキュリティーアップデート　SA-CORE-2025-001/SA-CORE-2025-002/SA-CORE-2025-003

2024-12-27: blog 【第1回】DrupalCon Singapore 2024に参加してきました！

2024-11-21: security セキュリティーアップデート　SA-CORE-2024-003/SA-CORE-2024-004/SA-CORE-2024-006/SA-CORE-2024-007/SA-CORE-2024-008

2024-10-17: security セキュリティアップデートSA-CORE-2024-002