【セキュリティー情報】Stacks - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-001

2018-01-15
Critical
拡張モジュール

●プロジェクト : Stacks
●投稿日 :2018/1/10
●セキュリティリスク : Critical
脆弱性 : Arbitrary PHP code execution

==概要==
このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。

このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。

この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。

==解決方法==。
最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。

==元記事==
https://www.drupal.org/sa-contrib-2018-001
==修正==
Mauro Vigliottiモジュール管理者
==整理==
Michael Hess Drupal セキュリティ チーム