米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は9月16日(現地時間)、「Drupal Releases Multiple Security Updates|CISA」において、Drupalが複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
これらの脆弱性を放置すると、攻撃者によってクロスサイトリクエストフォージェリ(CSRF)やアクセスバイパスなどの攻撃に悪用される危険性があるという。今回のアップデートでは5件の脆弱性が修正されており、それぞれ以下のページに詳細がまとめられている。
- Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-006(CVE-2020-13673)
- Drupal core - Moderately critical - Cross Site Request Forgery - SA-CORE-2021-007(CVE-2020-13674)
- Drupal core - Moderately critical - Access bypass - SA-CORE-2021-008(CVE-2020-13675)
- Drupal core - Moderately critical - Access bypass - SA-CORE-2021-009(CVE-2020-13676)
- Drupal core - Moderately critical - Access Bypass - SA-CORE-2021-010(CVE-2020-13677)
CVE-2020-13673は、コアメディアモジュールを使用してコンテンツフィールドにメディアを埋め込んだ場合、特権のないユーザーがHTMLをページに挿入できるようになる可能性があるというもので、これによってCSRFが可能になる。CVE-2020-13674は、QuickEditモジュールがルートへのアクセスを適切に検証しないことでCSRFが可能になるという脆弱性である。
CVE-2020-13675は、JSON:APIおよびREST/FileモジュールでHTTP APIを介してファイルをアップロードした際に、これらのモジュールがファイルを適切に検証しないことによってアクセスバイパスが可能になるというもの。CVE-2020-13676は、QuickEditモジュールがフィールドへのアクセスを適切にチェックしないことが原因で、フィールドデータが意図せずに開示される可能性があるという脆弱性になる。CVE-2020-13677はJSON:APIモジュールが特定のコンテンツへのアクセスを適切に制限しないことから、意図しないアクセスバイパスが発生する可能性があるというもの。
CVE-2020-13674とCVE-2020-13676については、QuickEditモジュールがインストールされている場合のみ影響を受ける。
脆弱性の影響を受けるバージョンはいずれも次の通り。
- Drupal 9.2.5以前のバージョン
- Drupal 9.1.12以前のバージョン
- Drupal 8.9.18以前のバージョン
それぞれ、以下のバージョンにアップデートすることで影響を回避することができる。
- Drupal 9.2.6
- Drupal 9.1.13
- Drupal 8.9.19
なお、8.9.xより前のバージョンのDrupal 8および9.1.xより前のバージョンのDrupal 9は既にサポートが終了しているため、セキュリティアップデートは提供されていない。5件の脆弱性のリスクは、Drupalの基準でいずれも5段階中3番目の「moderate critical(中程度に重要)」に分類されている。