Search API attachments - Critical - Arbitrary PHP code execution - SA-CONTRIB-2021-034

2021-09-27
Critical
拡張モジュール

2021/9/22(日本時間:GMT+9)、Search API attachmentsにおいて脆弱性が発見されました。
インストールしているSearch API attachmentsのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Search API attachments
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

このモジュールを使用すると、Webサイトで使用するファイルのテキストコンテンツを抽出できます。表示したり、検索インデックスで使用したりします。
このモジュールは、サーバー上で実行される管理者定義のコマンドを十分に保護していないため、限られたユーザーセットによる認証後のリモートコード実行につながります。

この脆弱性は、攻撃者が「administersearch_api」権限を持つロールを持っている必要があるという事実によって軽減されます。サイトでは、信頼できるユーザーのみがその権限を持っていることを確認するために、どの役割がその権限を持っているか、どのユーザーがその役割を持っているかを確認することをお勧めします。


==解決方法==
Search API attachmentsの最新バージョンをインストールします。
・Drupal 7.x用のsearch_api_attachments moduleを使用している場合は、search_api_attachments 7.x-1.19にアップグレードします。
8.xブランチにはセキュリティカバレッジがありません。


==元記事==
https://www.drupal.org/sa-contrib-2021-034