Private Taxonomy Terms - Critical - Access bypass, Information Disclosure, Multiple vulnerabilities - SA-CONTRIB-2022-014
2021/1/26(日本時間:GMT+9)、Private Taxonomy Termsにおいて脆弱性が発見されました。
インストールしているPrivate Taxonomy Termsのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Private Taxonomy Terms
●投稿日 :2021/1/26
●セキュリティリスク :Critical
●脆弱性 :Access bypass, Information Disclosure, Multiple vulnerabilities
==概要==
このモジュールを使用すると、ユーザーは「プライベート」ボキャブラリーを作成できます。
モジュールは、モジュールによって管理されていない語彙を含む語彙を表示、編集、または用語に追加しようとしたときに、ユーザーのアクセス許可を十分にチェックしません。
部分的な軽減は、ユーザーに少なくとも「独自の分類法の管理」、「vocabulary_nameの独自の用語の編集」、または「vocabulary_nameの独自の用語の削除」権限を付与することで利用できますが、これによってすべての既知の問題が軽減されるわけではありません。
==解決方法==
最新バージョンをインストールします。
・Drupal 8または9用のPrivate Taxonomy Terms moduleを使用している場合は、Private Taxonomy Terms 8.x-2.5にアップグレードします。
・Drupal 7.x用のPrivate Taxonomy Terms moduleを使用している場合は、Private Taxonomy Terms 7.x-1.11にアップグレードします。
