Paragraphs table - Critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-036

Critical
拡張モジュール

2024/9/4 (日本時間:GMT+9)、Paragraphs tableにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Paragraphs table
●投稿日 :2024/9/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass、Information Disclosure

==概要== 
このモジュールはフィールドコレクションをテーブルとして表示できるようにするものです。Display Suiteやフィールド権限をサポートし、修正、削除、複製などの操作を提供します。

このモジュールには、モジュールが提供するルートに対する要求が十分に制限されていないため、複数の脆弱性があります。  
 

情報漏洩

いくつかのルートは、パラグラフを表示する前に"access content"の権限を確認するだけで、ユーザーが実際にそのパラグラフを表示する権限を持っているかどうかを確認していませんでした。
 

アクセスバイパス

paragraphs_item.add_pageルートでは以前、"access content"の権限を持っていれば誰でも、ホストフィールドやコンテンツの編集権限やそのタイプのパラグラフを追加するためのアクセス調整フックに関係なくコンテンツにパラグラフを追加できるようになっていました。

これらの脆弱性は、通常すべてのロールに割り当てられている"access content"権限を持つロールを攻撃者が持っていなければならないという事実によって緩和されています。
 

==解決方法==

最新バージョンをインストールしてください。 

paragraphs_tableモジュール8.x-1.xを使用している場合は、paragraphs_table 8.x-1.23にアップグレードしてください。  
paragraphs_tableモジュール2.0.xを使用している場合は、paragraphs_table 2.0.2以降にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2024-036