Lightbox2 - Critical - Cross Site Scripting - SA-CONTRIB-2018-064

2018-10-15
Critical
拡張モジュール

2018/10/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Lightbox2

●投稿日 :2018/1010

●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : クロスサイトスクリプティング

==概要==
Lightbox2モジュールを使用すると、イメージを現在のページにオーバーレイすることができます。

潜在的なクロスサイトスクリプティング(XSS)につながるカスタムビューと組み合わせて使用​​すると、モジュールは一部の入力をサニタイズしませんでした。

特徴

・画像セット:関連する画像をグループ化し、それらを簡単にナビゲートして、画像ギャラリーに最適です。
・スライドショー機能。
・HTMLコンテンツサポート:ライトボックスにウェブサイトやその他のHTMLコンテンツを表示する機能。
・ビデオコンテンツのサポート。
・ビジュアルエフェクト:イメージをクリックしたときの見栄えの良いプリローダーとトランジション。
・キーボードショートカット:画像を切り替えるための便利なキーボードショートカット、再生/一時停止の切り替えなど
・ズーム機能:画像のサイズが大きくなるほど、ブラウザウィンドウ内にぴったりと収まるようになります。ズームインボタンをクリックすると元のサイズで表示され、ズームアウトボタンを押すと縮小したバージョンに戻ります。
・レイアウトの選択。
・スキンとアニメーションの設定。
・動画像検出:画像ノードのサムネイル、プレビューなどを自動的に再フォーマットすることができるため、サイトの各画像ノードリンクに「rel =」ライトボックスを追加する必要はありません。
・ページ除外機能:サイトの特定のページからライトボックス2の機能を除外します。
・ログインサポート:ログインフォームがライトボックスに表示されるように、すべてのユーザー/ログインリンクを変更する機能。
・ギャラリー2サポート:ギャラリーモジュール(ベータ版)を使用してギャラリー 2の画像をサポートします。Lightboxで動作するようにGallery2テーマをカスタマイズする方法については、こちらを参照してください。

依存関係

Lightbox2 5.x-2.0以降のバージョンでは、ScriptaculousおよびPrototypeライブラリの代わりにすべてjQueryライブラリが使用されるため、別のサードパーティパッケージをダウンロードしてインストールする必要はありません。5.xバージョンは、Drupalコアに含まれるjQueryのバージョンがそれほど最近のものではないため、jQueryアップデートモジュールに依存しています。このモジュールの1.xと2.xの両方のバージョンはLightbox2で動作するはずです。

6.xバージョンにはそのような依存関係はありません。

Drupal 7

Drupal 7のバージョンは、リリース7.x-2.0以降、jQuery 1.9+のサポートと改善されたi18nサポートを提供します。jQuery 1.9+のサポートと改善されたi18nサポートが必要な場合は、7.x-2.0にアップグレードすることをお勧めします。Drupal 6には欠けているものがわずかしかありません。現在、Flickrのサポートとライトフレーム用のテンプレートの使用があります。

Drupal 8

カラーボックスモジュールは、機能の類似したセットがあり、使用可能な状態のDrupal 8のバージョンがあります。

==元記事==

https://www.drupal.org/sa-contrib-2018-064