2023/9/20、Drupal coreにおいて脆弱性が発見されました。
インストールしているバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2023/9/20
●セキュリティリスク　：Critical
●脆弱性　：Cache poisoning

==概要==
特定の状況下でDrupalのJSON:APIモジュールはエラーのBacktraceを出力します。これが設定によってはセンシティブな情報がキャッシュされ匿名ユーザにも利用可能な状態となり、権限の拡大になる場合があります。

この脆弱性はJSON:APIモジュールが有効になっているサイトにのみ影響するもので、JSON:APIをアンインストールすることで軽減させることが可能です。

コアのRESTおよびコントリビュートモジュールのGraphQLは影響を受けません。

Drupal Stewardパートナーがこの問題に気づきました。一部のプラットフォームでは軽減対策が提供されています。しかしながら全てのWAF設定がこの問題を軽減するわけではないため、サイトにJSON:APIを使用している場合は迅速にセキュリティリリースにアップデートすることが推奨されます。

==解決方法==
最新バージョンをインストールしてください。

・Drupal 10.1を使用している場合、Drupal 10.1.4にアップデートしてください。
・Drupal 10.0を使用している場合、Drupal 10.0.11にアップデートしてください。
・Drupal 9.5を使用している場合、Drupal 9.5.11にアップデートしてください。

Drupal9.5以前の全てのDrupal9はサポートが終了しておりセキュリティ保護は受けません。Drupal 8もサポートを終了しています。

Drupal7は影響を受けません。

==元記事==
https://www.drupal.org/sa-core-2023-006