Drupal、Drupalに複数の脆弱性を確認
Drupalに複数の脆弱性が確認された。影響を受けるのはDrupal core 6.x versions prior to 6.38、Drupal core 7.x versions prior to 7.43、Drupal core 8.0.x versions prior to 8.0.4で、ファイルアップロードアクセスのバイパス及びサービス運用拒否、XML-RPC経由の増幅総当り攻撃、パスの操作によるオープンリダイレクト、フォームAPIのサブミットボタン上のアクセス制限無視、強制改行によるHTTPヘッダインジェクション、’destination’ パラメータの二重エンコードによるオープンリダイレクト、Reflected fileダウンロード、ユーザアカウントの保存によるユーザ権限取得、メールアドレスとアカウントのマッチ、セッションデータの切断によるユーザ提供データのアンシリアライズ化の10件の脆弱性が存在し、深刻度がCriticalになっている。解決策としてDrupal 6.x向けにはDrupal core 6.38、Drupal 7.x向けDrupal core 7.43、Drupal 8.0.x向けDrupal core 8.0.4が公開されており、アップデートによりこれらの脆弱性は解消される。
