Easy Breadcrumb - Critical - Cross Site Scripting - SA-CONTRIB-2019-053

2019-07-12
Critical
拡張モジュール

2019/6/19(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Easy Breadcrumb
●投稿日 :2019/6/19
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
このモジュールを使用すると、現在のURL(パスエイリアス)と現在のページのタイトルを使用して、ブレッドクラムのセグメントとそれぞれのリンクを自動的に抽出し、それらをWebサイトでブレッドクラムとして表示できます。

特定の状況では、モジュールはユーザー入力を十分にサニタイズしません。

この脆弱性は権限を必要としませんが、「パンくずテキスト内のHTMLタグを許可する」設定(デフォルトで有効)のチェックを外すことで軽減できます。場合によっては、ブラウザのXSS保護機能が悪用を妨げる可能性があります。

==解決方法==。
Drupal 7.x用のEasy Breadcrumbモジュールを使用している場合は、Easy Breadcrumb 7.x-2.17にアップグレードしてください。

Easy Breadcrumbプロジェクトのページも参照してください。

==元記事==
https://www.drupal.org/sa-contrib-2019-053