OAuth 2.0 Client Login (Single Sign-On) - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-016
Critical
拡張モジュール
2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)
●投稿日 :2019/2/13
●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities
==概要==
このモジュールを使用すると、OAuth 2.0プロトコル又は、外部のプロバイダを介してDrupal Webサイトにログインすることができます。
このモジュールは、ユーザの入力のダイレクトに基づいてリダイレクトに使用されるDrupal変数を設定するため、Open Redirectの脆弱性が起こります。また、匿名ユーザーがアクセス可能なテスト認証エンドポイントによってエラーメッセージの一部として表示されます。ユーザー入力をサニタイズすることに失敗すると、XSSの脆弱性を引き起こします。
解決方法
最新バージョンをダウンロードしてください。
・Drupal 7.x用のminiOrange OAuthクライアントモジュールを使用している場合は、 miniOrange OAuth Client 7.x-1.21にアップグレードしてください。