Registration role - Critical - Access bypass - SA-CONTRIB-2024-015
2024/3/6 (日本時間:GMT+9)、Registration roleにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Registration role
●投稿日 :2024/3/6
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
Registration roleモジュールでは、管理者が新しいユーザに自動的に割り当てる役割を選択できるようになります。選択された役割は新規登録者に割り当てられます。
このモジュールには、コードをアップグレードしたサイトがDrupalアップデートプロセス(例:update.php)を実行していない場合の論理エラーがあります。
この脆弱性は、コードを更新し標準的なアップデートを実行するプロセスに従ったサイトでは問題が存在しないという事実によって軽減されます。
==解決方法==
最新バージョンをインストールしてください。
Registration role moduleのversion 2.xを使用している場合はRegistration role 2.0.1にアップグレードしてください。
2023年7月11日から現在までに登録されたユーザアカウントを見直し、意図しない追加の役割を持っていないかどうかを確認してください。バージョン2.0.0のリリース時(または2020年8月17日からの開発ブランチ)に設定のアップデートを見逃したり元に戻したりした場合、選択されていない役割は設定から削除されませんでした。このアップデートをしない場合、設定フォームを再保存するか新しいリリースをインストールするかどちらか早い方までに、登録したユーザに全ての役割が割り当てられます。
また、最新バージョンにアップグレードし、 update.php でアップデートフックを実行するかDrushで drush updb を行なってください。
または、/admin/people/registration-roleの設定ページを直ちに再保存してください。