オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Drupal Commerce 8.x、Password Reset Landing Page (PRLP) 8.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/05/21(木)01:15 AM~)

今週は Drupal 8 用の拡張モジュールが2つです。普及度の高い Drupal Commerce のみ訳しました。

モジュール(重大性スコア)  使用サイト数


Drupal Commerce

オンラインの原文: Drupal Commerce - Moderately critical - Access bypass - SA-CONTRIB-2020-020


概要

Drupal Commerce は e コマース Web サイトおよびアプリケーションを構築するのに使用される。その際、匿名ユーザーからの注文を許可するよう取引を設定することが可能。この設定において、チェックアウト完了時にアカウントを作成しないことを選択したユーザーは匿名であり続ける。そのため、そうした注文には所有者(オーナー)が割り当てられないままになる。

匿名ユーザーに「自分の注文を見る(View own orders)」権限が与えられている場合、該当する閲覧ページに直接アクセスすることで、こうした匿名の注文をすべて見ることが可能。匿名ユーザーが自分の注文だけを見られるようにするために必要な独自のアクセス制御が Drupal Commerce には備わっていない。

事実として、これを悪用するには、該当するサイトにおいて匿名でのチェックアウトが許可されている必要があり、攻撃者は「自分の注文を見る」権限がある匿名ユーザーでなくてはならないため、この脆弱性は軽減される。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Drupal Commerce を使用している場合は Drupal Commerce 2.18 にアップデートする。

Drupal Commerce プロジェクト ページも参照。