Taxonomy Entity Queue - Critical - SQL Injection - SA-CONTRIB-2018-052
Critical
拡張モジュール
2018/7/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Taxonomy Entity Queue
●投稿日 :2018/7/18
●セキュリティリスク : 17∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:All
●脆弱性 : SQLインジェクションL
==概要==
このモジュールを使用すると、タクソノミーに基づいてエンティティキューを作成できます。
ユーザー提供の値を使用してデータベースにクエリを実行する際に、モジュールがDrupalのデータベースAPIを適切に使用されないため、攻撃者が要求を送信してクエリを変更したりすることが可能になってしまいます。
==解決方法==
最新バージョンをインストールしてください。
・Drupal 7.xの分類エンティティキューモジュールを使用する場合は、分類エンティティキュー7.x-1.1にアップグレードしてください
分類エンティティキューのプロジェクトページも参照してください。