SVG Formatter - Critical - Cross site scripting - SA-CONTRIB-2020-005

2020-03-06
Critical
拡張モジュール

2020/3/4(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :SVG Formatter
●投稿日 :2020/3/4
●セキュリティリスク : Critical
●脆弱性 :Cross site scripting

==概要==
SVG Formatterモジュールは、WebサイトでSVG画像を使用するためのサポートを提供します。

このセキュリティリリースは、SVG Formatterに含まれているか、SVG Formatterに必要なサードパーティの依存関係を修正します。
XSS bypass using entities and tab

この脆弱性は、攻撃者がSVGファイルをアップロードできる必要があるという事実により緩和されます。

==解決方法==
最新バージョンをインストールします。
・Drupal 8.x用のSVG Formatterモジュールを使用する場合は、SVG Formatter 8.x-1.12にアップグレードしてください。
SVG Formatterプロジェクトページも参照してください。

==元記事==
https://www.drupal.org/sa-contrib-2020-005