Webform - Critical - Cross Site Scripting, Access Bypass - SA-CONTRIB-2021-045

2021-12-09
Critical
拡張モジュール

2021/12/8(日本時間:GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Webform
●投稿日 :2021/12/8
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting, Access Bypass

==概要==

このモジュールを使用すると、Drupalでフォームと調査を作成できます。

モジュールは、WebformNodeモジュールを使用しノードに接続されたWebformの、管理機能へのアクセスを十分にチェックしません。これにより、送信されたデータが明かされたり、攻撃者が送信されたデータを変更したりする可能性があります。さらに、電子メールを送信し送信を保存するWebフォームを持つサイトの場合、この脆弱性により、攻撃者はサイトを電子メールリレーとして使用できます(つまり、任意の電子メールを送信します)。

この脆弱性に対する緩和策はありません。 Webform Nodeモジュールを有効にしている場合は、Webformモジュールを更新する必要があります。


==Cross Site Scripting:==
Webformモジュールを使用すると、サイトビルダーはフォームと調査を作成できます。

要素の「ヘルプタイトル」および「画像選択」要素の画像テキストに特別に細工された悪意のあるテキストが含まれている場合、WebformモジュールはHTMLを十分にフィルタリングしません。

この脆弱性は、攻撃者がWebフォームを作成または編集できる必要があるという事実によって軽減されます。


==解決方法==
最新バージョンをインストールします。
・Drupal 9.x用のWebform modulを使用している場合は、Webform 6.1.2またはWebform 6.0.6にアップグレードします。
・Drupal 8.x-5.x用のWebform modulを使用している場合は、この問題の影響を受け、サポートはされていません。 Webform6にアップグレードする必要があります。


==元記事==
https://www.drupal.org/sa-contrib-2021-045