オープンソースのコンテンツ管理システム(CMS)を開発するDrupal.orgは8月13日(米国時間)、クロスサイトスクリプティングなど5件の脆弱性を修正するパッチをリリースした。脆弱性のレベルは「高(Highly critical)」で、パッチ適用か最新バージョンへのアップデートを呼びかけている。
Drupalが報告した脆弱性は、クロスサイトスクリプティング(XSS)2件、クロスサイトリクエストフォージェリ(CSRF)2件、それにBlogAPI経由で任意のファイルをアップロードするバグ1件の計5件。いずれも遠隔からの攻撃を可能にするものだ。中でもCSRFの1つは、アクセスルールに関するもので、特権を持つユーザーが悪意あるハッカーが作成したサイトを訪問した際、意図せずにアクセスルールの追加や削除を行う可能性があるという。また、XSSの1つはアウトプットフィルタのバグで、これを悪用して悪意あるユーザーはスクリプトコードをページ内に挿入できるという。
これら5件の脆弱性が関係あるのはDrupal 6.X。Drupal 5.Xも、4件の脆弱性の影響を受ける。
Drupalは同日、これらの脆弱性を修正するパッチをリリースするともに、両バージョンのアップデート版として「Drupal 5.10」と「Drupal 6.4」をリリースした。ユーザーに最新版へのアップデートまたはパッチの適用を呼びかけている。
Drupal.org
http://drupal.org