オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Maxlength 7.x

Drupal セキュリティ チームからの連絡です(日本時間 2019/10/10(木)01:23 AM)

今週は拡張モジュールが 1 つです。

モジュール(重大性スコア)使用サイト数



Maxlength

オンラインの原文: Maxlength - Moderately critical - Cross Site Scripting - SA-CONTRIB-2019-073

  • プロジェクト:Maxlength
  • バージョン:7.x(原文には該当欄なし)
  • 月日: 2019 年 10 月 09 日
  • セキュリティー リスク:13/25 (重大性 中程度)
    AC:Basic/A:Admin/CI:Some/II:Some/E:Theoretical/TD:All
  • 脆弱(ぜいじゃく)性:クロスサイト スクリプティング

概要

Maxlength モジュールを利用すると、テキストフィールドに入力できる最大文字数を設定し、あと何文字入力できるか表示させることが可能。

このモジュールでは、テキスト ストリングに対するフィルター機能が不十分。このため、クロスサイト スクリプティング(XSS)の脆弱性につながる。

事実として、悪意のあるスクリプトは「Bypass maxlength setting(最大長設定をバイパス)」権限のあるユーザー(ID 1 を含む)によって起動されることはないため、この問題は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 7.x 用の Maxlength モジュールを使用している場合は Maxlength 7.x-3.3 にアップデートする。

Maxlength プロジェクト ページも参照。