Phone Field - Critical - SQL Injection - SA-CONTRIB-2019-001
Critical
拡張モジュール
==元記事==
https://www.drupal.org/sa-contrib-2019-001
2019/1/9(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Phone Field
●投稿日 :2019/1/9
●セキュリティリスク : Critical
●脆弱性 : SQL Injection
==概要==
このモジュールは、HTML5 tel : スキーマをサポートする Drupal 7 用電話フィールドを提供します。
当モジュールで使用されていない API 関数では、電話フィールドの名称は、データベースクエリーで使用する際、十分にサニタイズされていません。
影響を受けるのは、未使用の関数 1 つであることから、脆弱性の程度は低くなっています。
サイトが脆弱になるのは、サイトに phonefield_get_entity_id() 関数を使用し、$ field パラメータに対する制御をサイト訪問者に公開するカスタムコードがある場合に限定されます。
==解決方法==。
最新版をインストールしてください。
phonefieldモジュールをDrupal 7.xで使用する場合は、phonefield 7.x-1.1にアップグレードしてください。
詳細
こちらのページもご参照ください。
==元記事==
https://www.drupal.org/sa-contrib-2019-001