CVE-2024-11942は、Drupal CoreのCKEditor 5モジュールに存在する、特定のサイト構成下で画像アップロード時にWebroot全体がファイルシステム上の別の場所に移動する可能性がある脆弱性です。悪意のあるユーザーによってサイトが停止させられる可能性があります。影響を受けるのは10.2.9以下のバージョンです。この問題はバージョン10.2.10で修正されました。
Drupal Coreにおいて、CKEditor 5モジュールに関連する重大な脆弱性(CVE-2024-11942)が特定されました。特定の、あまり一般的ではないサイト構成下では、この脆弱性を利用して、画像アップロードを通じてサイトのウェブルートをファイルシステム上の別の場所に移動させることが可能です。これにより、サイトの停止、サービス拒否(DoS)攻撃、または最悪の場合、機密データへの不正アクセスにつながる可能性があります。この脆弱性の深刻度は、CVSSスケールで5.9と評価されています。このリスクを軽減するため、Drupalをバージョン10.2.10以降に更新することが不可欠です。
この脆弱性は、Drupalサイトの特定の構成において、CKEditor 5エディターを通じて悪意のあるユーザーが画像をアップロードするときにトリガーされます。この構成には、通常、ファイルパスの操作と、CKEditor 5がファイルシステムとどのように相互作用するかが含まれます。攻撃者は、パス処理のエラーを利用してウェブルートディレクトリを移動させ、サービスを中断させる可能性があります。必要な構成の複雑さにより、悪用は困難になりますが、特に開発環境やカスタム構成のサイトでは、不可能ではありません。
Drupal sites utilizing the CKEditor 5 module with non-standard configurations are at the highest risk. This includes sites with custom modules or themes that modify file upload behavior or permissions. Shared hosting environments where users have limited control over file system permissions are also potentially vulnerable.
• drupal: Check Drupal core version using drush --version. Review CKEditor 5 module configuration for non-default settings. Examine web server access logs for unusual file upload patterns.
drush --version• generic web: Monitor web server error logs for errors related to file system access or permission issues during image uploads. Use a WAF to detect and block suspicious file upload attempts.
disclosure
エクスプロイト状況
EPSS
1.56% (81% パーセンタイル)
CVSS ベクトル
幸いなことに、この脆弱性を悪用するには、非常に具体的な、非標準のサイト構成の組み合わせが必要です。発生するためには、いくつかの要件が同時に満たされる必要があり、これにより、通常のサイトが脆弱になる可能性は大幅に低下します。ただし、サイトがCKEditor 5のデフォルトの動作を変更するカスタム構成または拡張機能を使用している場合は、構成を評価し、できるだけ早くセキュリティアップデートを適用することが重要です。Drupal 10.2.10へのアップグレードが、最も効果的で推奨される解決策です。
Actualice Drupal Core a la versión 10.2.10 o superior. Esta actualización corrige la vulnerabilidad de manejo de errores. Realice una copia de seguridad de su sitio web antes de actualizar.
脆弱性分析と重要アラートをメールでお届けします。
この脆弱性は、カスタムファイルパスとCKEditor 5のファイルシステムとの相互作用を含む、非標準の構成でトリガーされます。正確な詳細は複雑であり、サイトの構成によって異なります。
すぐに更新できない場合は、CKEditor 5のファイルパスとファイル処理における非標準の変更がないか、サイトの構成を評価してください。詳細については、Drupalドキュメントを参照してください。
いいえ。この脆弱性は、特定の、あまり一般的ではない構成のサイトにのみ影響します。ただし、潜在的なリスクを回避するために、更新することが重要です。
現在、この脆弱性を検出する自動化されたツールはありません。ご自身を保護する最良の方法は、Drupalの最新バージョンに更新することです。
Drupalのウェブサイトと、National Vulnerability Database(NVD)などの脆弱性データベースで、より詳しい情報を入手できます。
composer.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。