Forms Steps - Critical - Access bypass - SA-CONTRIB-2019-064

2019-08-28
Critical
拡張モジュール

2019/8/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Forms Steps
●投稿日 :2019/8/14
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
フォームの手順は、フォームモードを使用してフォームワークフローを作成するためのUIを提供します。迅速で構成可能なマルチステップフォームを作成します。

このモジュールは、マルチステップフォームのさまざまなステップで作成されたエンティティを表示できるワークフローエンティティにアクセスするためのユーザー権限を十分にチェックしません。

この脆弱性は、フローにリンクされたコンテンツを作成するためにForms Steps URLを知っていることにより緩和されます。また、作成されたすべてのコンテンツは、URLとコンテンツへのリンクされたハッシュを知っている必要があるため、同じフローで編集するのは非常に困難です。

==解決方法==。
最新版をインストールしてください。

Drupal 8.xのForms Stepsモジュールを使用する場合は、 Forms Steps 8.x-1.2にアップグレードしてください。

Forms Stepsプロジェクトページも参照してください。

==元記事==
https://www.drupal.org/sa-contrib-2019-064