Phone Field - Critical - SQL Injection - SA-CONTRIB-2019-001

2019-01-10
Critical
拡張モジュール

2019/1/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Phone Field
●投稿日 :2019/1/9
●セキュリティリスク : Critical
●脆弱性 : SQL Injection

==概要==
このモジュールは、HTML5 tel : スキーマをサポートする Drupal 7 用電話フィールドを提供します。

当モジュールで使用されていない API 関数では、電話フィールドの名称は、データベースクエリーで使用する際、十分にサニタイズされていません。

影響を受けるのは、未使用の関数 1 つであることから、脆弱性の程度は低くなっています。
サイトが脆弱になるのは、サイトに phonefield_get_entity_id() 関数を使用し、$ field パラメータに対する制御をサイト訪問者に公開するカスタムコードがある場合に限定されます。

==解決方法==。
最新版をインストールしてください。

phonefieldモジュールをDrupal 7.xで使用する場合は、phonefield 7.x-1.1にアップグレードしてください。
詳細

こちらのページもご参照ください。

==元記事==
https://www.drupal.org/sa-contrib-2019-001