Album Photos - Critical - Access bypass - SA-CONTRIB-2023-022
Critical
拡張モジュール
2023/6/21、Album Photosにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。
●プロジェクト :Album Photos
●投稿日 :2023/6/21
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
このモジュールを使うとWebサイト上で写真やアルバムを作成・管理することができます。
このモジュールではユーザーが「すべての写真を編集可能」あるいは「すべての写真を削除可能」の権限が付与されている場合にノードアクセスが十分に確認されません。
この脆弱性は、攻撃者は「すべての写真を編集可能」または「すべての写真を削除可能」の権限を持つ必要があるという点から軽減されています。
==解決方法==
最新バージョンをインストールしてください。
Drupal9または10にてバージョン6.0.xのphotosモジュールを使用している場合はphotos6.0.4にアップデートしてください。
Drupal9にてバージョン8.x のphotosモジュールを使用している場合はphotos8.x-4.5にアップデートしてください。