Group - Critical - Information Disclosure - SA-CONTRIB-2020-030

2020-08-06
Critical
拡張モジュール

2020/7/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Group
●バージョン :8.x-1.x-dev
●投稿日 :2020/7/29
●セキュリティリスク : Critical
●脆弱性 : Information Disclosure

==概要==
このモジュールを使用すると、Webサイトの小さなサブセット、セクション、またはコミュニティに権限を配布できます。

このモジュールはノードグラントシステムを利用していましたが、最近の8.x-1.0リリースではこれをオフにし、ノードだけでなくすべてのエンティティタイプで動作するシステムを採用しました。そうすることで、いくつかの通常のノードアクセスチェックは、ノードグラントシステムが動作する方法により、ニュートラルから許可されたものに変わりました。

この脆弱性は、被害者のウェブサイトに GroupNode プラグインがインストールされていて、最近 Group によって削除されたもの以外の hook_node_grants() がウェブサイト上に実装されていない必要がある、という事実によって緩和されます。
GroupNode プラグインを使用していない場合や、モジュールを実装している hook_node_grants() を有効にしている場合は、サイトに影響がないかもしれません。

==解決方法==
最新バージョンをインストールします。
8.x-1.0-rc5を使用している場合、そのバージョンはこの問題の影響を受けません。 8.x-1.1へのアップグレードすることもできます。
8.x-1.0を使用している場合は、8.x-1.1にアップグレードする必要があります。

==元記事==
https://www.drupal.org/sa-contrib-2020-030