オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Svg Image 8.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/03/26(木)04:53 AM)

今回の Drupal セキュリティー勧告は D8 用の拡張モジュール Svg Image です。

モジュール(重大性スコア)  使用サイト数

  • Svg Image (15/25 重大)   19,270 サイト

Svg Image

オンラインの原文: Svg Image - Critical - Cross site scripting - SA-CONTRIB-2020-008

  • プロジェクト:Svg Image
  • バージョン:8.x(原文には記載なし)
  • 月日: 2020 年 03 月 25 日
  • セキュリティー リスク:15/25 (重大)
    AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All
  • 脆弱性の種類:クロスサイト スクリプティング

概要

SVG Image モジュールを利用すると SVG ファイルをアップロードできるようになる。

このモジュールでは、SVG ファイル内に悪意のあるコードが含まれている場合、そのコードに対する防御措置が不十分。このため、クロスサイトスクリプティングの脆弱性につながり得る。

事実として、攻撃者がこれを悪用するには、SVG ファイルをアップロードする権限を持っていなくてはならないので、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の SVG Image モジュールを使用している場合は SVG Image 8.x-1.10 にアップデートする。

SVG Image プロジェクト ページも参照。