【セキュリティー情報】Clientside Validation - Critical - Arbitary PHP Execution - DRUPAL-SA-CONTRIB-2017-072

2017-09-08
Critical
拡張モジュール

2017/9/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID :DRUPAL-SA-CONTRIB-2017-072
●プロジェクト : Clientside Validation (third-party module)
●バージョン : 7.x
●投稿日 :2017/9/6
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution

==概要==
Clientside Validationモジュールを使ってクライアント側(Javascriot)のバリデーションを自分の形式で行うことが可能になります。

このモジュールはCAPTCHAをバリデーションする時に発生したPOSTリクエストのパラメータを十分にバリデーションしません。

Clientside Validationモジュールの1.xバージョンは、CAPTCHAモジュールとClientside Validationモジュールの'validate captcha'オプションを有効にしなければならないことにより脆弱性が軽減されます。(このオプションはデフォルトによって有効です。)

2.xバージョンは、CAPTCHAモジュールとClientside Validation captchaサブモジュールを有効にしなければならないことにより脆弱性が軽減されます。

==影響を受けるバージョン==
Clientside Validationの7.x-1.44.以下の7.x-1.xバージョンと7.x-2.0-beta 1.以下の7.x-2.xバージョンです。

Drupalコアには影響がありません。
Clientside Validation拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==。
Clientside Validation モジュールの1.xバージョンを使用している場合は、7.x-1.45へアップグレードすることお勧めします。
2.xバージョンを使用している場合は7.x-2.0-beta2へアップグレードすることをお勧めします。
より詳しい説明はhttps://www.drupal.org/project/clientside_validation をご覧ください。

==元記事==
https://www.drupal.org/node/2907118