Open Social - Critical - Authentication Bypass - SA-CONTRIB-2021-011

2021-06-03
Critical
拡張モジュール

2021/6/2(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Open Social
●投稿日 :2021/6/2
●セキュリティリスク :Critical
●脆弱性 :Authentication bypass

==概要==

Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。

含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。

この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。


==解決方法==
Open Socialの最新バージョンをインストールします。
・Drupal 10.0.xでOpen Socialを使用している場合は、Open Social 10.0.13にアップグレードしましょう。
・Drupal 10.1.xでOpen Socialを使用している場合は、Open social 10.1.6にアップグレードしましょう。
または、social_magic_login モジュールを無効にします。


==元記事==
https://www.drupal.org/sa-contrib-2021-011