プラットフォーム
drupal
コンポーネント
drupal
修正版
10.1.5
10.0.12
9.5.12
9.5.11
9.5.11
9.5.11
CVE-2023-5256は、DrupalのJSON:APIモジュールが特定条件下でエラーバックトレースを出力する脆弱性です。これにより、機密情報がキャッシュされ、匿名ユーザーに公開されることで、権限昇格のリスクがあります。影響を受けるのはJSON:APIモジュールを有効にしている9.5.9以下のバージョンです。この問題はバージョン9.5.11で修正されました。
DrupalのCVE-2023-5256脆弱性は、JSON:APIモジュールに影響を与え、特定のシナリオでエラーバックトレースが出力される可能性があります。一部の構成では、これにより機密情報がキャッシュされ、匿名ユーザーに公開される可能性があり、権限昇格につながる可能性があります。CVSSスコアは9.5と高く、重大なリスクを示しています。この脆弱性は、DrupalのコアRESTモジュールや寄付されたGraphQLモジュールには影響しません。本番環境で機密情報が公開されると、アプリケーションのセキュリティとユーザーデータが損なわれる可能性があります。
この脆弱性の悪用には、JSON:APIモジュールが有効になっており、エラーバックトレースのキャッシュを許可する特定の構成が必要です。攻撃者は、JSON:APIモジュール内でエラーをトリガーし、機密情報を含むエラーバックトレースを生成する可能性があります。このバックトレースがキャッシュされ、匿名ユーザーに提供される場合、攻撃者はファイルパス、データベース名、またはソースコードなどの機密情報にアクセスする可能性があります。悪用の可能性は、サイトの特定の構成と、JSON:APIモジュール内のエラーの存在に依存します。
エクスプロイト状況
EPSS
1.29% (80% パーセンタイル)
この脆弱性を軽減するための最も直接的な解決策は、JSON:APIモジュールをアンインストールすることです。モジュールがサイトの機能に不可欠な場合は、修正が含まれるバージョン9.5.11以降にアップデートすることをお勧めします。モジュールのアップデートまたはアンインストールを行う前に、サイト全体の完全なバックアップを作成する必要があります。さらに、機密情報の公開リスクを高める設定がないか、サイトの構成を確認してください。適切なアップデートと優れたセキュリティプラクティスは、Drupalサイトを保護するために不可欠です。
Desinstale el módulo JSON:API para mitigar la vulnerabilidad. Alternativamente, actualice Drupal Core a la última versión disponible que contenga la corrección para este problema. Consulte el anuncio de seguridad de Drupal para obtener más detalles y parches.
脆弱性分析と重要アラートをメールでお届けします。
いいえ、JSON:APIモジュールが有効になっているサイトにのみ影響します。
モジュールをバージョン9.5.11以降にアップデートしてください。
JSON:APIモジュールが有効になっている場合、サイトは脆弱である可能性があります。侵入テストを実行するか、Drupalのセキュリティ専門家に相談してください。
脆弱性スキャナはこの脆弱性を検出できますが、存在を確認するために手動テストを実行することが重要です。
ファイルパス、データベース名、ソースコード、およびエラーバックトレースで見つかるその他の機密情報。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。