2022年9月29日(日本時間) Drupal Coreに脆弱性が見つかり、セキュリティアップデートがリリースされました。詳細は下記になります。
Security advisories(公式サイト)
脆弱性の内容
SA-CORE-2022-016
影響度
- 致命的(Critical)
内容と問題
-
Drupalは、コンテンツのテンプレート化とサニタイズにTwigというサードパーティライブラリを使用しており、Twigに脆弱性の問題が発生しました。このため、Drupalに影響するセキュリティアップデートをリリースしました。
-
ユーザが悪意を持って Twig コードの書き込みにアクセスした場合、プライベートファイル、サーバ上の他のファイルの内容、またはデータベース認証情報への不正な読み取りアクセスの可能性を含む、複数の脆弱性が発生する可能性があります。
-
この脆弱性は、Twigファイルにアクセスできる管理権限でのみ利用可能であるため、影響は限定的です。 (弊社では追加モジュールでTwigファイルのアクセスを許可しているモジュールはありません。)
対応方法
- Drupal 9.4を使用している場合は、Drupal9.4.7に更新してください。
- Drupal 9.3を使用している場合は、Drupal9.3.22に更新してください。
弊社の対応
- 今回の対応が必要なお客様(保守契約締結済み)には、個別にご連絡致しております。