Gutenberg - Critical - Access bypass - SA-CONTRIB-2021-007

2021-05-13
Critical
拡張モジュール

2021/5/12(日本時間:GMT+9)、Gutenbergにおいて脆弱性が発見されました。
インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Gutenberg
●投稿日 :2021/5/12
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。

モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。


==解決方法==
最新バージョンをインストールします。
・Gutenberg module 8.x-1.xを使用している場合は、8.x-1.12にアップグレードしましょう。
・Gutenberg module 8.x-2.xを使用している場合は、8.x-2.0にアップグレードしましょう。
・管理者以外の役割の場合、再利用可能なブロックを表示および削除するには、「グーテンベルクの管理」(8.x-1.x)または「グーテンベルクの使用」(8.x-2.x)の権限を付与する必要があります。


==元記事==
https://www.drupal.org/sa-contrib-2021-007