Domain Group - Critical - Access bypass - SA-CONTRIB-2021-037

2021-09-27
Critical
拡張モジュール

2021/9/22(日本時間:GMT+9)、Domain Groupにおいて脆弱性が発見されました。
インストールしているDomain Groupのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Domain Group
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このモジュールを使用すると、サイトはドメインアクセスからグループページを直接指すドメインを定義できます。

このモジュールは、コンテンツ管理パスへのアクセスを十分に管理していないため、攻撃者は許可されるべきコンテンツ(ノード)を確認してアクションを実行できます。


==解決方法==
Domain Groupの最新バージョンをインストールします。
・Drupal 8.x用のsearch_api_attachments moduleを使用している場合は、domain_group 8.x-1.04にアップグレードします。
・Drupal 9.x用のsearch_api_attachments moduleを使用している場合は、domain_group 2.0.1にアップグレードします。


==元記事==
https://www.drupal.org/sa-contrib-2021-037