米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月17日(現地時間)、「Drupal Releases Security Updates|CISA」において、Drupal 9.2および9.3に複数の脆弱性が報告され、開発元がセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、対象のシステム上で任意のJavaScriptの実行やサービス拒否(DoS)などの攻撃を受ける危険性がある。
該当する脆弱性に関する情報は、次のセキュリティアドバイザリにまとめられている。
-
Drupal core - Moderately critical - Third-party libraries - SA-CORE-2022-005
この脆弱性はサードパーティ製のCKEditorライブラリに起因するもので、WYSIWYG編集にCKEditorライブラリを使用できるように設定されている場合に影響を受ける。コンテンツの作成および編集を行える攻撃者は、CKEditorに直接アクセスしなくても、1つ以上のクロスサイトスクリプティング(XSS)の脆弱性を悪用することでCKEditorにアクセスできるユーザーの権限を用いてこれらの脆弱性を悪用できるという。
報告されている脆弱性は次の2件で、いずれもCKEditorのバージョン4.18.0よりも前のバージョンが影響を受ける。Drupalでは、Drupal 9.3.7以前、およびDrupal 9.2.14以前のバージョンが、影響を受けるバージョンのCKEditorライブラリを利用している。
- CVE-2022-24728: HTML processing vulnerability allowing to execute JavaScript code
- CVE-2022-24729: Regular expression Denial of Service in dialog plugin
それぞれ次バージョンにアップデートすることで、脆弱性の影響を回避することができる。
- Drupal 9.3.8
- Drupal 9.2.15
なおバージョン9.2.xより前のDrupal 9はすべてサポートが終了しているため、セキュリティの対象外とされている。
