米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月20日、「Drupal Releases Security Updates|CISA」において、オープンソースのCMSである「Drupal」に複数の脆弱性が報告され、開発チームがセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって信頼できないコードが実行されるなどの影響を受ける恐れがあるという。

該当する脆弱性に関する情報は次のセキュリティアドバイザリにまとめられている。

  • Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001

    Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2022-001

  • Drupal core - Moderately critical - Cross site scripting - SA-CORE-2022-002

    Drupal core - Moderately critical - Cross site scripting - SA-CORE-2022-002

これらの脆弱性は、いずれもDrupalが使用するサードパーティ製ライブラリである「jQuery UI」に起因するものである。jQuery UIの最新版であるバージョン1.13.0は2021年10月7日にリリースされたが、このバージョンに含まれる次のクロスサイトスクリプティング脆弱性がDrupalにも影響を与える可能性があることが判明したという。

  • CVE-2021-41184: XSS in the of option of the .position() util
  • CVE-2021-41182: XSS in the altField option of the Datepicker widget
  • CVE-2021-41183: XSS in *Text options of the Datepicker widget
  • CVE-2016-7103: XSS in closeText option of Dialog
  • CVE-2010-5312: XSS in the title option of Dialog (applicable only to the jQuery UI version included in D7 core)

CVE-2021-41184はDrupal 9および7に、それ以外の4件はDrupal 7に影響を与える可能性があるとのこと。それぞれ、次のバージョンにアップデートすることで脆弱性の影響を回避することができる。

  • Drupal 9.3.3
  • Drupal 9.2.11
  • Drupal 7.86