オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Webform(D8)、reCAPTCHA v3(D8)

Drupal セキュリティ チームからの連絡です(日本時間 2020/05/14(木)02:40 AM~)

今回は先週と同じ D8 用 Webform が 1 件のほか、D8 用 reCAPTCHA v3 が 1 件です。普及度の低い reCAPTCHA v3 の記事は訳しませんでした。必要に応じて原文をご覧ください。

モジュール(重大性スコア)  使用サイト数

  • Webform (15/25 重大)   117,885 サイト
  • reCAPTCHA v3 (18/25 重大)   767 サイト

Webform

オンラインの原文: Webform - Critical - Access bypass - SA-CONTRIB-2020-018


概要

Webform モジュールでは「ターム チェックボックス(Term checkboxes)」要素を作成できるが、この要素をレンダリングする際、タームの閲覧アクセスに対するチェックが不十分。このため、「ターム チェックボックス」要素のなかに非公開のタームも常に表示されてしまう。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Webform モジュールを使用している場合は Webform 8.x-5.12 にアップデートする。

Webform プロジェクト ページも参照。