オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Views Bulk Operations (VBO) for D8

Drupal セキュリティ チームからの連絡です(日本時間 2020/02/06(木)02:47 AM)

今週は Drupal 8 用の拡張モジュール Views Bulk Operations (VBO) だけです(D7 用は該当しない模様)。

モジュール(重大性スコア)  使用サイト数


Views Bulk Operations (VBO)

オンラインの原文: Views Bulk Operations (VBO) - Moderately critical - Access bypass - SA-CONTRIB-2020-003


概要

Views Bulk Operations モジュールを使うと、ビューに対してバルク アクション(一括処理)を行えるようになる。

このモジュールにはアクセス バイパスの脆弱性があり、ユーザーが本来なら実行できないはずのビューズ機能(アクション)を実行できてしまう可能性がある。

事実として、この脆弱性が悪用され得るのは(hook_action_info_alter を利用した)カスタマイズされたアクション アクセスの場合に限られるため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Views Bulk Operations 3.x を使用している場合は Views Bulk Operations 3.4 にアップデートする。
  • Drupal 8.x 用の Views Bulk Operations 2.x を使用している場合は Views Bulk Operations 2.6 にアップデートする。

Views Bulk Operations (VBO) プロジェクト ページも参照。