Config Terms - Critical - Access bypass - SA-CONTRIB-2022-047

2022-07-01
Critical
拡張モジュール

2022/6/29(日本時間:GMT+9)、Config Termsモジュールにおいて脆弱性が発見されました。
インストールしているConfig Termsモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Config Terms
●投稿日 :2022/6/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass

概要

このモジュールにより、コンテンツの代わりに構成エンティティーに基づくタクソノミーのバージョンを作成・管理することができます。
用語や語彙、それらの構造をサイト構成としてエクスポート、インポート、管理ができます。

このモジュールは、編集と削除の操作に対するアクセスチェックが十分ではありません。「コンテンツへのアクセス」権限を持つユーザーは、任意の用語の編集や削除が可能です。
編集フォームについては、デフォルトで用語表示ルートがないため、ユーザーが通常は見ることのできない用語データを表示してしまう場合があります。

この脆弱性は、攻撃者が「access content」権限を持っている必要があるため、すべてのサイトにおいて匿名ユーザーがアクセスできるというわけではないという事実により、わずかに緩和されます。

解決方法

最新版のインストール:
Drupal 9.x でConfig Termsモジュールを使用している場合、Config Terms 8.x-1.6以降にアップグレードしてください。


==元記事==
https://www.drupal.org/sa-contrib-2022-047