Open Social - Critical - Authentication Bypass - SA-CONTRIB-2021-011
Critical
拡張モジュール
2021/6/2(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Open Social
●投稿日 :2021/6/2
●セキュリティリスク :Critical
●脆弱性 :Authentication bypass
==概要==
Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。
含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。
この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。
==解決方法==
Open Socialの最新バージョンをインストールします。
・Drupal 10.0.xでOpen Socialを使用している場合は、Open Social 10.0.13にアップグレードしましょう。
・Drupal 10.1.xでOpen Socialを使用している場合は、Open social 10.1.6にアップグレードしましょう。
または、social_magic_login モジュールを無効にします。