CVE-2022-25278は、Drupal CoreのフォームAPIがフォーム要素へのアクセスを誤って評価する脆弱性です。これにより、本来アクセスできないはずのユーザーがデータを改ざんできる可能性があります。影響を受けるのは9.3.9以下のバージョンです。この問題はバージョン9.3.19で修正されました。
Drupal Core の CVE-2022-25278 は、フォーム API がフォーム要素へのアクセスを評価する方法に影響を与えます。具体的には、特定のフィールドの変更に必要な権限をシステムが正しく検証していないため、不十分な権限を持つユーザーがアクセスすべきでないデータを変更できる可能性があります。これは、サイトの設定の変更、機密性の高いコンテンツの操作、またはユーザーデータの変更として現れる可能性があります。影響はサイトの設定とユーザーの権限によって異なり、最悪の場合、サイトに保存されている情報の整合性とセキュリティを損なう可能性があります。CVSS の深刻度は 6.5 で、中程度のリスクを示しています。このリスクを軽減するために、Drupal をバージョン 9.3.19 以降に更新することが重要です。
この脆弱性は、Drupal フォーム経由で送信されたデータの操作によって悪用されます。攻撃者は、悪意のあるフォームを作成するか、既存のフォームのデータを変更して、特定のフィールドを変更するために必要な権限をバイパスする可能性があります。悪用の成功は、サイトの設定とユーザーの権限に依存します。技術的に熟練した攻撃者は、この脆弱性を利用して機密性の高いデータへの不正アクセスを獲得したり、サイトの設定を変更したりする可能性があります。フォーム要素へのアクセス検証の不備により、不十分な権限を持つユーザーがセキュリティ制限を回避し、実行すべきではないアクションを実行できるようになります。
エクスプロイト状況
EPSS
0.45% (64% パーセンタイル)
CVSS ベクトル
CVE-2022-25278 を解決するための主な解決策は、Drupal Core をバージョン 9.3.19 以降に更新することです。この更新には、フォーム要素へのアクセスを正しく検証するために必要な修正が含まれています。さらに、Drupal サイト上のユーザー権限とロールを確認して、ユーザーが必要とする機能とデータのみにアクセスできるようにすることをお勧めします。定期的なセキュリティ監査は、脆弱性の悪用リスクを高める可能性のある潜在的な誤った構成を特定し、修正するのに役立ちます。直ちに更新できない場合は、サイトの特定の領域へのアクセスを制限し、ユーザーアクティビティを疑わしい動作について監視するなど、追加のセキュリティ対策を検討してください。
Actualice el núcleo de Drupal a la versión 9.4.3 o posterior, o a la versión 9.3.19 o posterior para mitigar la vulnerabilidad. Esta actualización corrige un error en la forma en que la API de formulario del núcleo de Drupal evalúa el acceso al elemento del formulario, lo que podría permitir a un usuario modificar datos a los que no debería tener acceso.
脆弱性分析と重要アラートをメールでお届けします。
9.3.19 より前のバージョンの Drupal Core は、CVE-2022-25278 に影響を受けます。
サイトの管理ページにある「サイト情報」セクションで Drupal のバージョンを確認できます。
すぐに更新できない場合は、サイトの機密性の高い領域へのアクセスを制限し、ユーザーアクティビティを監視することを検討してください。
Drupal セキュリティスキャナがあり、この脆弱性と他の脆弱性を識別するのに役立ちます。
Drupal のウェブサイトと、National Vulnerability Database (NVD) などの脆弱性データベースで、より詳しい情報を入手できます。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。