Drupal Login Time Restrictionにおけるクロスサイトリクエストフォージェリ (CSRF) の脆弱性により、クロスサイトリクエストフォージェリが発生します。この問題は、Login Time Restriction: 0.0.0より前、1.0.3未満のバージョンに影響します。

このCSRF脆弱性は、攻撃者が認証済みのユーザーとしてアクションを実行することを可能にします。例えば、攻撃者はユーザーのログイン時間制限設定を不正に変更したり、他の管理操作を実行したりする可能性があります。攻撃者は、悪意のあるウェブサイトやメールにリンクを埋め込むことで、ユーザーが誤ってリクエストを送信するように誘導できます。この脆弱性は、Drupalサイトのセキュリティを著しく損なう可能性があり、機密情報の漏洩や不正なデータ変更につながる可能性があります。

Drupal sites utilizing the Login Time Restriction module, particularly those with sensitive data or critical functionality, are at risk. Sites running older, unpatched versions of Drupal are especially vulnerable. Shared hosting environments where users have limited control over installed modules also face increased risk.

• drupal: Check the version of the Login Time Restriction module using drush pm-info logintimerestriction. If the version is less than 1.0.3, the system is vulnerable. • generic web: Monitor Drupal site logs for suspicious POST requests originating from different IP addresses than the authenticated user's. Use a WAF to block requests without valid CSRF tokens.

1. 2026-01-28Disclosure

   disclosure

1. 予約済み2025-12-03
2. 公開日2026-01-28
3. 更新日2026-02-19
4. EPSS 更新日2026-03-23

この脆弱性への最も効果的な対策は、Drupal Login Time Restrictionモジュールをバージョン1.0.3にアップデートすることです。アップデートがすぐに利用できない場合は、WAF（Web Application Firewall）を使用して、CSRF攻撃を検出し、ブロックすることを検討してください。また、ユーザーにログイン時間制限設定の変更を求める際には、常に二段階認証を要求するなど、追加のセキュリティ対策を講じることを推奨します。アップデート後、Drupalサイトのセキュリティ設定を再確認し、不正な変更がないか確認してください。