【日報】巷のセキュリティ 2022年10月01日

テックラジオ
テックラジオ
【日報】巷のセキュリティ 2022年10月01日
/

その日に起こった脆弱性報告、セキュリティニュース、インシデント・障害情報などをできるだけ毎日まとめています。

広告

本日の巷のニュース

  • SonicJSに認証なしで任意のファイルの書き込みと削除が可能な脆弱性
  • Drupal 複数の脆弱性対応のバージョンが公開

SonicJSに認証なしで任意のファイルの書き込みと削除が可能な脆弱性

Node.jsベースで開発されているOSSのCMSである「SonicJS」(0.6.0までのバージョン)には、認証なしで任意のファイルの書き込みと削除が可能な脆弱性が存在します。

対処方法

  • クエリーに認証と認可を要求と特殊文字の検証を実装する

一次情報

ベンダー情報

なし

備考

現状、脆弱性が確認されている0.6が最新リリース状態。

さらに開発者によるアップデートはないため、ちょっとやばめ。ソース修正できるならやったほうがよいね。

Drupal 複数の脆弱性対応のバージョンが公開

PHPで書かれたコンテンツ管理システムである「Drupal」に、機密情報へのアクセスが可能など複数の脆弱性に対応したセキュリティアップデートがありました。

対処方法

  • 9.4を使っていれば、9.4.7にアップデート
  • 9.3を使っていれば、9.3.22にアップデート

一次情報

備考

アップデートは公開済みなので早めに更新しようね。