OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client) - Critical - Cross Site Scripting - SA-CONTRIB-2024-067
2024/12/4 (日本時間:GMT+9)、OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)において脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
●対象バージョン :>=3.0.0 <3.44.0 || >=4.0.0 <4.0.19
==概要==
このモジュールは、Identity Provider(IdP)またはOAuthサーバーを通じてユーザーを認証し、Drupalサイトにログインできるようにします。
このモジュールはエラーメッセージを表示する際、特にレスポンスにcodeパラメータが含まれていない場合に、コールバックURLに送信されるクエリパラメータを十分にエスケープしていません。
==解決方法==
最新バージョンをインストールしてください。
Drupal 9およびDrupal 10でOAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)モジュール8.x-3.xを使用している場合はminiorange_oauth_client 8.x-3.44にアップグレードしてください。
Drupal 9、Drupal 10、Drupal 11でOAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)モジュール4.xを使用している場合はminiorange_oauth_client 4.0.19にアップグレードしてください。
Drupal 7でOAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)モジュール7.x-1.xを使用している場合はminiorange_oauth_client 7.x-1.355にアップグレードしてください。
