Drupalのサードパーティライブラリに脆弱性

情報源

CISA Current Activity
Drupal Releases Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/26/drupal-releases-security-updates

概要

Drupalが使用するサードパーティライブラリGuzzleには、脆弱性があります。
結果として、遠隔の第三者が機微な情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Drupal 9.3.14より前の9.3系バージョン
– Drupal 9.2.20より前の9.2系バージョン

なお、Drupal 9.2系より前の9系のバージョンはサポートが終了しており、今回のセキュリティに関する情報は提供されていません。また、Drupal 7系は本脆弱性の影響を受けないとのことです。

この問題は、Drupalを開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書 (英語)

Drupal
Drupal core – Moderately critical – Third-party libraries – SA-CORE-2022-010
https://www.drupal.org/sa-core-2022-010

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC Weekly Report 2022-06-01号」
https://www.jpcert.or.jp/wr/2022/wr222101.html