The Better Mega Menu - Critical - Cross Site Request Forgery - SA-CONTRIB-2021-040

2021-09-27
Critical
拡張モジュール

2021/9/22(日本時間:GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :The Better Mega Menu
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery

==概要==

このモジュールは、Drupalメニュー項目とリッチメディアコンテンツを組み合わせたドロップダウンメニューを作成するための管理インターフェイスを提供します。
モジュールは、メニュー構成を保存するためのルートを保護するためにCSRFトークンを使用しません。

この脆弱性は、匿名ユーザーによって悪用される可能性があります。


==解決方法==
Domain Groupの最新バージョンをインストールします。
・Drupal 8.x用のTB Mega Menu moduleを使用している場合は、TB MegaMenu 8.x-1.4にアップグレードします。


==元記事==
https://www.drupal.org/sa-contrib-2021-040