United States Computer Emergency Readiness Team (US-CERT)はこのほど、「Drupal Releases Security Updates|CISA」において、オープンソースのコンテンツ管理システム(CMS)である「Drupal」に複数の脆弱性が存在し、Drupalプロジェクトがセキュリティアップデートをリリースしたと伝えた。

これら脆弱性を悪用されると、クロスサイトスクリプティングやコンテンツ表示の際のアクセス権検証の回避、機密情報へのアクセスなどが行われる危険性があるとされている。

  • Drupal Releases Security Updates|CISA

    Drupal Releases Security Updates | CISA

今回修正が報告された脆弱性は以下の5つ。

上記のうち、SA-CORE-2020-007とSA-CORE-2020-009、SA-CORE-2020-010の3件はクロスサイトスクリプティングの脆弱性で、攻撃者によってサイトに不正な処理を仕込まれる危険性がある。SA-CORE-2020-008はワークスペースモジュールに存在する脆弱性で、ワークスペース切り替えの際のアクセス許可の検証が不十分なために、サイトの管理者がコンテンツを公開する前に攻撃者によってアクセスされる可能性があるというもの。SA-CORE-2020-011はFileモジュールに存在する脆弱性で、攻撃者がファイルのIDを推測できた場合にプライベートファイルのメタデータにアクセスできてしまうという。

影響を受けるバージョンは脆弱性によって異なるが、Drupal 7.x、8.8.x、8.9.x、および9.0.xが対象として挙げれらている。脆弱性の重要度は、SA-CORE-2020-009が「緊急(Critical)」で、そのほかは「中程度に重要(Moderately critical)」に指定されている。

Cybersecurity and Infrastructure Security Agency (CISA)では、ユーザーおよび管理者に対し、上記のセキュリティ情報を確認した上で必要なアップデートを適用することを推奨している。