【セキュリティパッチ情報】Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported
Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported
2016年3月2日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-013
●プロジェクト: Node Notify (拡張モジュール)
●バージョン : 7.x
●投稿日 : 2016/3/2
●セキュリティリスク: Critical
●脆弱性 : Access bypass
==概要==
Node Notifyは小規模なモジュールで、登録ユーザーおよび匿名ユーザーが、ノードのコメントを購読できるようになる機能を提供します。
このモジュールは、ユーザーが送信したコンテンツで不適切な部分を削除する機能が十分ではないので、クロスサイトスクリプティングの脆弱性が発生します。
加えて、一部のパスがCSRF (クロスサイトリクエストフォージェリ) に対して保護されていませんでした。攻撃者は、ユーザーのブラウザーを特別に偽造したURLに誘導することで、別のユーザーに対して、勝手に通知を購読させたり、通知の購読を解除させたりすることができていました。
影響を受けるバージョンはNode Notifyモジュール全てのバージョンです。
Drupalのコアには影響しません。Node Notifyを使用しない場合は、何もする必要はありません。
もし、Drupalの7.xでNode Notifyモジュールを使用している場合には、アンインストールをおすすめします。
こちらのプロジェクトページ(https://www.drupal.org/project/node_notify)もご覧ください。
==元記事==