米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2021年8月12日(現地時間)、「Drupal Releases Security Updates|CISA」において、オープンソースのコンテンツ管理システム(CMS)の「Drupal」がクロスサイトスクリプティング脆弱性が報告されており、これを修正するセキュリティ更新プログラムがリリースされたと伝えた。この脆弱性を悪用されると、影響を受けたシステムでは、XSS攻撃によって制御権が乗っ取られるなどの被害を受ける危険性があるという。

今回リリースされたセキュリティ更新プログラムに関する詳細は、以下のセキュリティアドバイザリにまとめられている。

  • Drupal core - Moderately critical - Third-party libraries - SA-CORE-2021-005

    Drupal core - Moderately critical - Third-party libraries - SA-CORE-2021-005

この脆弱性は、DrupalがWYSIWYG編集用にCKEditorライブラリを使用できるように構成されている場合に影響を受ける可能性があるという。攻撃者がコンテンツを作成または編集できる権限を持つ場合、CKEditorの使用に関係なく、CKEditorにアクセスできるユーザーを標的にXSS攻撃を行うことが可能となる。

影響を受けるDrupalのバージョンは以下のとおり。

  • Drupal 9.2
  • Drupal 9.1
  • Drupal 8.9

それぞれ、Drupal 9.2.4、Drupal 9.1.12、Drupal 8.9.18にアップデートすることでこの脆弱性の影響を回避することができる。なお、8.9.xより前のバージョンのDrupal 8および9.1.xより前のバージョンのDrupal 9は、すでにサポート期間が終了しているためセキュリティ更新プログラムの対象には含まれていないとのことだ。