MEDIUMCVE-2024-12393CVSS 5.4

Drupal Core クロスサイトスクリプティング (XSS)

プラットフォーム

drupal

コンポーネント

drupal

修正版

10.2.11

10.3.9

11.0.8

10.2.11

AI Confidence: highNVDEPSS 1.9%レビュー済み: 2026年3月

NVDで見る

保存

CVE-2024-12393は、Drupal Coreにおけるクロスサイトスクリプティング（XSS）の脆弱性です。この脆弱性を悪用されると、攻撃者が悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能になります。影響を受けるバージョンは、8.8.0から10.2.11未満、10.3.0から10.3.9未満、および11.0.0から11.0.8未満です。この問題はバージョン10.2.11で修正されています。

影響と攻撃シナリオ

Drupal Core の CVE-2024-12393 は、JavaScript を使用してステータスメッセージがレンダリングされる方法に影響を与えます。特定の構成では、これらのメッセージは適切にサニタイズされず、攻撃者が悪意のある JavaScript コードを挿入できる可能性があります。このコードはユーザーのブラウザで実行され、ウェブサイトのセキュリティを損なう可能性があります。この脆弱性の深刻度は CVSS スケールで 5.4 と評価されており、中程度のリスクを示しています。影響を受けるバージョンには、Drupal Core 8.8.0 から 10.2.11 まで、10.3.0 から 10.3.9 まで、11.0.0 から 11.0.8 までのものがあります。悪用が成功すると、任意のコードの実行、機密情報の窃盗、またはウェブサイトの操作につながる可能性があります。

悪用の状況

この脆弱性は、ステータスメッセージへの JavaScript コードの挿入によって悪用されます。攻撃者は、これらのメッセージを生成するために使用されるデータを操作することでこれを実現し、不十分なサニタイズを利用します。悪用のコンテキストは、特定の Drupal サイトの構成と、JavaScript でレンダリングされたステータスメッセージを使用する機能に依存します。悪用には、攻撃者がステータスメッセージを生成するために使用されるデータを操作できる必要があります。これは、カスタムモジュールまたはテーマのさまざまな脆弱性を通じて実現できる可能性があります。挿入されたコードの実行は、ユーザーのブラウザ構成とウェブサイトのセキュリティポリシーに依存します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard83% まだ脆弱

EPSS

1.89% (83% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントdrupal

ベンダーosv

影響範囲修正版

8.8.0 – 10.2.1110.2.11

10.3.0 – 10.3.910.3.9

11.0.0 – 11.0.811.0.8

8.8.010.2.11

10.3.010.2.11

11.0.010.2.11

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2024-12-09
公開日2024-12-10
更新日2025-12-10
EPSS 更新日2026-04-02

公開後-19日でパッチ適用

緩和策と回避策

推奨される解決策は、Drupal Core をパッチが適用されたバージョンに更新することです。具体的には、バージョン 10.2.11 以降、10.3.9 以降、または 11.0.8 以降に更新してください。これらのバージョンには、ステータスメッセージの JavaScript サニタイズの脆弱性を修正するパッチが含まれています。直ちに更新できない場合は、一時的な軽減策を実装することを検討してください。たとえば、カスタム JavaScript コードを注意深く確認し、JavaScript でレンダリングされたステータスメッセージを使用する機能を一時的に無効にしてください。悪用のリスクを最小限に抑えるために、できるだけ早く更新を適用することが重要です。更新後、ウェブサイトの機能を確保するために徹底的なテストを実施する必要があります。

修正方法翻訳中…

Actualice Drupal Core a la última versión disponible. Para las versiones 8.8.x a 10.2.x, actualice a la versión 10.2.11 o superior. Para las versiones 10.3.x, actualice a la versión 10.3.9 o superior. Para las versiones 11.0.x, actualice a la versión 11.0.8 o superior.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-12393 とは何ですか？（Drupal Core の Cross-Site Scripting (XSS)）

Drupal Core 8.8.0 から 10.2.11 まで、10.3.0 から 10.3.9 まで、11.0.0 から 11.0.8 までのもの。

Drupal Core の CVE-2024-12393 による影響を受けていますか？

使用している Drupal Core のバージョンを確認してください。影響を受ける範囲内にある場合は、脆弱である可能性があります。

Drupal Core の CVE-2024-12393 を修正するにはどうすればよいですか？

JavaScript サニタイズは、悪意のあるコードを削除または無効化するために、JavaScript コードをクリーンアップおよび検証するプロセスです。

CVE-2024-12393 は積極的に悪用されていますか？

カスタム JavaScript コードを注意深く確認し、JavaScript でレンダリングされたステータスメッセージを使用する機能を一時的に無効にすることを検討してください。

CVE-2024-12393 に関する Drupal Core の公式アドバイザリはどこで確認できますか？

Drupal は、更新プロセスを簡素化できる組み込みの更新ツールとサードパーティのモジュールを提供しています。