SVG Formatter - Critical - Cross site scripting - SA-CONTRIB-2020-005
Critical
拡張モジュール
2020/3/4(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :SVG Formatter
●投稿日 :2020/3/4
●セキュリティリスク : Critical
●脆弱性 :Cross site scripting
==概要==
SVG Formatterモジュールは、WebサイトでSVG画像を使用するためのサポートを提供します。
このセキュリティリリースは、SVG Formatterに含まれているか、SVG Formatterに必要なサードパーティの依存関係を修正します。
XSS bypass using entities and tab
この脆弱性は、攻撃者がSVGファイルをアップロードできる必要があるという事実により緩和されます。
==解決方法==
最新バージョンをインストールします。
・Drupal 8.x用のSVG Formatterモジュールを使用する場合は、SVG Formatter 8.x-1.12にアップグレードしてください。
SVG Formatterプロジェクトページも参照してください。