SVG Formatter - Critical - Cross Site Scripting - SA-CONTRIB-2018-027
Critical
拡張モジュール
2018/5/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト : SVG Formatter
●投稿日 :2018/5/9
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting
==概要==
このモジュールはファイルフィールドの新しいフォーマットを追加し、ファイル拡張子をアップロードすることができます。
シナリオにアップロードされたSVGファイルの下で、モジュールが十分にサニタイズしません。
この脆弱性は、攻撃者がSVGファイルのアップロードを許可する特定のコンテンツタイプの作成または編集の権限を持つロールを持っていなければならないという事実によって軽減されます。
==解決方法==。
最新バージョンをインストールします。
・Drupal 8.x用のSVG Formatterモジュールを使用する場合は、SVG Formatter 8.x-1.06をお読みください。
こちらも一緒にご覧下さいSVG Formatter