オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Profile

Drupal セキュリティ チームからの連絡です(日本時間 2020/02/20(木)02:42 AM)

今週は Drupal 8 用の拡張モジュール Profile だけです。

モジュール(重大性スコア)  使用サイト数

  • Profile (14/25 重大性 中程度)   17,739 sites

Profile

オンラインの原文: Profile - Moderately critical - Access Bypass - SA-CONTRIB-2020-004


概要

Profile モジュールを使うと、ユーザーは設定を調整できるユーザー プロフィールを使えるようになる。

このモジュールでは、ユーザー プロフィールを作成する際のアクセス チェックが不十分。「プロフィールを作成(create profiles)」権限のあるユーザーはどのユーザーのプロフィールも作成できてしまう。


解決方法

最新バージョンをインストールする。

  • Profile モジュール を使用している場合は Profile 8.x-1.1 にアップデートする。
  • Profile プロジェクト ページも参照。