CVE-2022-25276は、Drupal CoreのMedia oEmbed iframeルートにおける、iframeドメイン設定の検証不備に起因するクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性により、特定の条件下で、プライマリドメインのコンテキストで埋め込みが表示され、Cookieの漏洩などのリスクがあります。影響を受けるのはDrupal Core 9.3.9以下のバージョンです。この問題はバージョン9.3.19で修正されました。
Drupal CoreのCVE-2022-25276は、MediaモジュールのoEmbed iframeルートに影響を与えます。この脆弱性は、iframeドメイン設定の不適切な検証に起因し、埋め込みがプライマリドメインのコンテキストで表示されることを許可します。これにより、クロスサイトスクリプティング(XSS)、Cookieの漏洩、またはその他のセキュリティ脆弱性につながる可能性があります。サードパーティの埋め込みを多用するWebサイトのリスクは特に高く、攻撃者がこの弱点を悪用して保護されたページに悪意のあるコードを注入し、ユーザーのセキュリティとサイトの整合性を損なう可能性があります。このリスクを軽減するため、Drupalを9.3.19以降のバージョンにアップグレードすることが重要です。Drupal 7はMediaモジュールが含まれていないため影響を受けません。
攻撃者は、信頼できないドメインを指す悪意のあるoEmbed iframeを作成することで、この脆弱性を悪用する可能性があります。Drupalサイトがiframeドメインを正しく検証しない場合、悪意のあるコンテンツはプライマリドメインのコンテキストでロードされ、攻撃者がユーザーのブラウザで任意のJavaScriptコードを実行できるようになります。これにより、セッションCookieを盗んだり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトのコンテンツを修正したりする可能性があります。悪用される可能性は、サイトの構成と、Mediaモジュールと対話するカスタムモジュールまたはコードの存在によって異なります。
エクスプロイト状況
EPSS
1.26% (79% パーセンタイル)
CVSS ベクトル
CVE-2022-25276に対処するための主な解決策は、Drupal Coreをバージョン9.3.19以降にアップグレードすることです。このアップデートには、oEmbed iframeドメインを正しく検証するために必要な修正が含まれています。さらに、MediaモジュールとそのoEmbed機能を利用するカスタムモジュールをレビューおよび更新することをお勧めします。コンテンツセキュリティポリシー(CSP)を実装することで、Webサイトにロードできるコンテンツのソースを制限し、追加の保護レイヤーを提供できます。サイトログを監視して疑わしいアクティビティを検出し、潜在的な悪用試行に対応することも推奨されるプラクティスです。
Actualice Drupal Core a la versión 9.4.3 o superior, o a la versión 9.3.19 o superior para mitigar la vulnerabilidad. Esta actualización corrige una falla de validación en la ruta de iframe de oEmbed que podría permitir la ejecución de código de secuencias de comandos entre sitios (XSS), el robo de cookies u otras vulnerabilidades.
脆弱性分析と重要アラートをメールでお届けします。
いいえ、Drupal 7はMediaモジュールが含まれていないため影響を受けません。
すぐにアップグレードできない場合は、リスクを軽減するためにコンテンツセキュリティポリシー(CSP)を実装することを検討してください。
oEmbedは、外部のWebサイトからコンテンツをDrupalサイトに埋め込むことを可能にするプロトコルです。
サイトの管理ページにある「サイト情報」セクションで、Drupalのバージョンを確認できます。
はい、Drupalの脆弱性スキャンツールがいくつかあり、無料のものと有料のものがあります。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。