オープンソース・ソフト Drupal を使った Web サイトの構築・サポート・研修

セキュリティ報告:Easy Breadcrumb 8.x、Apigee Edge 8.x、Modal Form 8.x

Drupal セキュリティ チームからの連絡です(日本時間 2020/07/23(木)04:25AM~)

今週は D8 用の拡張モジュールが3つです。普及度が高い Easy Breadcrumb の記事だけ訳しました。


モジュール(重大性スコア)  使用サイト数


Easy Breadcrumb

オンラインの原文: Easy Breadcrumb - Moderately critical - Cross site scripting - SA-CONTRIB-2020-027


概要

Easy Breadcrumb モジュールを使うと、現在の URL(パス エイリアス)と現在のページ タイトルから自動的にパンくずのセグメントと該当するリンクを抽出し、Web サイトのパンくずとして表示できる。

このモジュールでは、特定の状況下でエディター入力に対するサニタイズ処理が不十分。このため、クロスサイト スクリプティングの脆弱性につながる可能性あり。

この脆弱性を悪用するには、そのユーザーに「Easy Breadcrumb 設定を管理(administer Easy Breadcrumb settings)の権限が必要。


解決方法

最新バージョンをインストールする。

  • Drupal 8.x 用の Easy Breadcrumbを使用している場合は Easy Breadcrumb 8.x-1.13 にアップデートする。

Easy Breadcrumb プロジェクト ページも参照。