Svg Image - Critical - Cross site scripting - SA-CONTRIB-2020-008
Critical
拡張モジュール
2020/3/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Svg Image
●投稿日 :2020/3/25
●セキュリティリスク : Critical
●脆弱性 :Cross site scripting
==概要==
Svg Imageモジュールにより、SVGファイルをアップロードできます。
モジュールは、クロスサイトスクリプティングの脆弱性につながるSVGファイル内の悪意のあるコードから十分に保護しませんでした。
この脆弱性は、攻撃者がSVGファイルをアップロードする権限を持っている必要があるという事実によって緩和されます。
==解決方法==
最新バージョンをインストールします。
・Drupal 8.x用のSVG Imageモジュールを使用する場合は、Svg Image 8.x-1.10にアップグレードしてください。
Svg Imageプロジェクトページも参照してください。