|
[English]
|
JVNDB-2024-000004
|
Drupal における特定の構造を持つ入力に対する不適切な取り扱いの脆弱性
|
|
Drupal.org が提供する Drupal には、特定の構造を持つ入力に対する不適切な取り扱い (CWE-237) の脆弱性が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者:株式会社ブロードバンドセキュリティ 志賀 拓馬 氏
|
|
|
CVSS v3 による深刻度
基本値: 5.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 部分的
|
|
|
Drupal
|
報告者によると、バージョン 9.3.6 で本脆弱性を確認したとのことです。
また、開発者によると、10 系、および 9 系の最新バージョン 9.5.x では、本脆弱性は再現しないとのことです。
|
|
第三者によって、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版 (バージョン 10 系) にアップデートしてください。
Drupal バージョン 9 系のサポートは、2023 年 11 月に終了しています。
|
|
Drupal
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2024-22362
|
|
- JVN : JVN#63383723
- National Vulnerability Database (NVD) : CVE-2024-22362
|
|
- [2024年01月16日]
掲載
- [2024年03月12日]
参考情報:National Vulnerability Database (NVD) (CVE-2024-22362) を追加
|
