Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2022-016
2022/9/28(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2022/9/28
●セキュリティリスク :Critical
●脆弱性 :Multiple vulnerabilities
●対象バージョン :>= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7
==概要==
Drupalは、コンテンツのテンプレート化とsanitizationにTwigというサードパーティライブラリを使用します。
TwigはDrupalに影響するセキュリティアップデートをリリースしてきました。
Twigは、この脆弱性の重要度を大として評価しています。
関連する脆弱性の低減のため、Twig を延長する Drupal コアのコードも更新されました。
信頼できないユーザーに Twig コード作成のアクセス権が付与されている場合、非公開のファイル、サーバ上の他のファイルの内容やデータベースの資格情報への権限のない読み込みアクセスの可能性など、複数の脆弱性が発生する可能性があります。
この脆弱性は、不正利用が制限付きアクセス管理権限付きの Drupal コアでのみ可能という事実により低減されます。
Twig テンプレートの作成を許可するコントリビュートまたはカスタムコードに関しては、同一の脆弱性に関して追加の不正利用パスが存在する可能性があります。
==解決方法==
Drupal 9.4を使用中の場合はDrupal 9.4.7へアップデートしてください。
Drupal 9.3を使用中の場合はDrupal 9.3.22へアップデートしてください。
Drupal 9の9.3.x以前のバージョンは全てサポートを終了しており、セキュリティ対策措置を受けられません。
Drupal 8は完全にサポートが終わっていますので、ご注意ください。
Drupal 7 coreはTwigを含んでいないため、影響を受けません。