Lightbox2 - Critical - Cross Site Scripting - SA-CONTRIB-2018-064
2018/10/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Lightbox2
●投稿日 :2018/1010
●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : クロスサイトスクリプティング
==概要==
Lightbox2モジュールを使用すると、イメージを現在のページにオーバーレイすることができます。
潜在的なクロスサイトスクリプティング(XSS)につながるカスタムビューと組み合わせて使用すると、モジュールは一部の入力をサニタイズしませんでした。
特徴
・画像セット:関連する画像をグループ化し、それらを簡単にナビゲートして、画像ギャラリーに最適です。
・スライドショー機能。
・HTMLコンテンツサポート:ライトボックスにウェブサイトやその他のHTMLコンテンツを表示する機能。
・ビデオコンテンツのサポート。
・ビジュアルエフェクト:イメージをクリックしたときの見栄えの良いプリローダーとトランジション。
・キーボードショートカット:画像を切り替えるための便利なキーボードショートカット、再生/一時停止の切り替えなど
・ズーム機能:画像のサイズが大きくなるほど、ブラウザウィンドウ内にぴったりと収まるようになります。ズームインボタンをクリックすると元のサイズで表示され、ズームアウトボタンを押すと縮小したバージョンに戻ります。
・レイアウトの選択。
・スキンとアニメーションの設定。
・動画像検出:画像ノードのサムネイル、プレビューなどを自動的に再フォーマットすることができるため、サイトの各画像ノードリンクに「rel =」ライトボックスを追加する必要はありません。
・ページ除外機能:サイトの特定のページからライトボックス2の機能を除外します。
・ログインサポート:ログインフォームがライトボックスに表示されるように、すべてのユーザー/ログインリンクを変更する機能。
・ギャラリー2サポート:ギャラリーモジュール(ベータ版)を使用してギャラリー 2の画像をサポートします。Lightboxで動作するようにGallery2テーマをカスタマイズする方法については、こちらを参照してください。
依存関係
Lightbox2 5.x-2.0以降のバージョンでは、ScriptaculousおよびPrototypeライブラリの代わりにすべてjQueryライブラリが使用されるため、別のサードパーティパッケージをダウンロードしてインストールする必要はありません。5.xバージョンは、Drupalコアに含まれるjQueryのバージョンがそれほど最近のものではないため、jQueryアップデートモジュールに依存しています。このモジュールの1.xと2.xの両方のバージョンはLightbox2で動作するはずです。
6.xバージョンにはそのような依存関係はありません。
Drupal 7
Drupal 7のバージョンは、リリース7.x-2.0以降、jQuery 1.9+のサポートと改善されたi18nサポートを提供します。jQuery 1.9+のサポートと改善されたi18nサポートが必要な場合は、7.x-2.0にアップグレードすることをお勧めします。Drupal 6には欠けているものがわずかしかありません。現在、Flickrのサポートとライトフレーム用のテンプレートの使用があります。
Drupal 8
カラーボックスモジュールは、機能の類似したセットがあり、使用可能な状態のDrupal 8のバージョンがあります。