United States Computer Emergency Readiness Team (US-CERT)はこのほど、「Drupal Releases Security Updates|CISA」において、オープンソースのコンテンツ管理システム(CMS)である「Drupal」に複数の脆弱性が存在し、Drupalプロジェクトがセキュリティアップデートをリリースしたと伝えた。

これら脆弱性を悪用されると、クロスサイトスクリプティングやコンテンツ表示の際のアクセス権検証の回避、機密情報へのアクセスなどが行われる危険性があるとされている。

今回修正が報告された脆弱性は以下の5つ。

Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-007 | Drupal.org
Drupal core - Moderately critical - Access bypass - SA-CORE-2020-008 | Drupal.org
Drupal core - Critical - Cross-site scripting - SA-CORE-2020-009 | Drupal.org
Drupal core - Moderately critical - Cross-site scripting - SA-CORE-2020-010 | Drupal.org
Drupal core - Moderately critical - Information disclosure - SA-CORE-2020-011 | Drupal.org

上記のうち、SA-CORE-2020-007とSA-CORE-2020-009、SA-CORE-2020-010の3件はクロスサイトスクリプティングの脆弱性で、攻撃者によってサイトに不正な処理を仕込まれる危険性がある。SA-CORE-2020-008はワークスペースモジュールに存在する脆弱性で、ワークスペース切り替えの際のアクセス許可の検証が不十分なために、サイトの管理者がコンテンツを公開する前に攻撃者によってアクセスされる可能性があるというもの。SA-CORE-2020-011はFileモジュールに存在する脆弱性で、攻撃者がファイルのIDを推測できた場合にプライベートファイルのメタデータにアクセスできてしまうという。

影響を受けるバージョンは脆弱性によって異なるが、Drupal 7.x、8.8.x、8.9.x、および9.0.xが対象として挙げれらている。脆弱性の重要度は、SA-CORE-2020-009が「緊急(Critical)」で、そのほかは「中程度に重要(Moderately critical)」に指定されている。

Cybersecurity and Infrastructure Security Agency (CISA)では、ユーザーおよび管理者に対し、上記のセキュリティ情報を確認した上で必要なアップデートを適用することを推奨している。