Custom Tokens - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-041

2018-06-18
Critical
拡張モジュール

2018/6/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Custom Tokens

●投稿日 :2018/6/13

●セキュリティリスク : 16∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:Default

●脆弱性 : 任意のPHPコード実行

==概要==
カスタムトークンモジュールを使用すると、信頼できるトークンAPIを作成できます。
このモジュールでは、カスタム権限が危険であるかを特定できていないため、信頼性の高い役割にのみ付与する必要があります。

この脆弱性は、攻撃者が "カスタムトークンの管理"のアクセス許可を持っていることにによって軽減されます。

発行されたCVE識別子

CVE識別子要求され、そしてDrupalのセキュリティチームのプロセスに従って、発行時に追加されます。

==解決方法==。
最新バージョンをインストールし、アクセス許可を確認してください。

アップグレード後、追加の設定手順が必要です。

このモジュールを使用するサイトは、管理»人»権限の権限ページを確認して、信頼されたユーザーにのみ、「カスタムトークンの管理」などのモジュールによって定義された権限が与えられているため確認する必要があります

●Drupal 7.xでカスタムトークンモジュール(1.x)を使用する場合は、カスタムトークン7.x-1.2にアップグレードしてください。

●Drupal 7.xでカスタムトークンモジュール(2.x)を使用する場合は、カスタムトークン7.x-2.0にアップグレードしてください。

カスタムトークンプロジェクトページも参照してください。

==報告者==
Matt Glaman

==元記事==
https://www.drupal.org/sa-contrib-2018-041