【セキュリティー情報】H5P - Critical - Reflected Cross Site Scripting (XSS) - DRUPAL-SA-CONTRIB-2017-071

2017-09-04
Critical
拡張モジュール

2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-071
●プロジェクト : H5P- Create and Share Rich Content and Applications(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
H5Pモジュールは、会話型ビデオ、問題集、ドラッグ&ドロップ問題式、選択式問題、ボードゲーム、プレゼン、フラッシュカードなどの様々なコンテンツを生成するのに便利です。

本モジュールは送信されたテキストをページに反映する前に十分フィルターしないため、Reflected Cross Site Scripting (XSS)の脆弱性が発生しています。

数多くの最新ブラウザーにはReflected Cross Site Scripting (XSS)の一部を予防する機能が入っていることによって本脆弱性は軽減されます。

==影響を受けるバージョン==
H5P の7.x-1.32以下の7.x-1.xバージョンです。

Drupalコアには影響がありません。
H5P- Create and Share Rich Content and Applications 拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==。
H5P- Create and Share Rich Content and Applications 拡張モジュールを使用している場合は、H5P 7.x-1.32へアップグレードすることお勧めします。より詳しい説明はhttps://www.drupal.org/project/h5p をご覧ください。

==元記事==
https://www.drupal.org/node/2905692