ACL - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-034
2023/8/23、ACLにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。
●プロジェクト :ACL
●投稿日 :2023/8/23
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
ACLモジュール(Access Control Lists)は他のモジュールがユーザーリストを作成しノードに対してアクセス権を付与するためのAPIです。
このモジュールが行うユーザーインプットが安全ではない場合があります。これは結果としてオブジェクトインジェクション経由のリモートコード実行となる可能性があります。
APIモジュールのため、”クライアント”モジュールが脆弱性を暴露した場合にのみ悪用が可能となります。コントリビュートクライアントモジュールの詳細は以下です。ACLを使ったカスタムモジュールも同様に脆弱性を暴露する可能性があります。
この脆弱性は、攻撃者は通常ACLのクライアントモジュールによって”管理者”タイプの権限を付与されている必要があるという点から軽減されています。
以下は該当のクライアントモジュールとして確認されています。
・Forum Access
・Flexi Access
・Content Access
セキュリティの対象となるクライアントモジュールに対してCoordinated Security Advisoriesがリリースされています。
==解決方法==
最新バージョンをインストールしてください。
・Drupal7.xにてACLモジュール使用している場合、ACL 7.x-1.4にアップグレードしてください。
・ACLモジュール8.x-1.0-beta3またはそれ以下を使用している場合はACL 8.x-1.0にアップグレードしてください。
ACLの依存する全てのモジュールもアップデートが必要となります。