「Drupal」にリモートから認証情報などを窃取される脆弱性（JVN）

IPAおよびJPCERT/CCは、Drupalの提供するコンテンツ管理システムである「Drupal」のForm APIに送信先URLを検証しない脆弱性が存在するとJVNで発表した。

脆弱性と脅威セキュリティホール・脆弱性

20 views

2012.5.17 Thu 17:56

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は5月17日、Drupalの提供するコンテンツ管理システム（CMS）である「Drupal」のForm APIに送信先URLを検証しない脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「Drupal 7.x 系の 7.13 より前のバージョン」のForm APIには、送信先のURLを検証しない脆弱性（CVE-2012-1589）が存在する。この問題が悪用されると、リモートの攻撃者にフォームの送信先を変更され、結果として認証情報などを窃取される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》

特集

アクセスランキング

ランキングをもっと見る

PageTop

「Drupal」にリモートから認証情報などを窃取される脆弱性（JVN）

関連記事

アップルが「QuickTime」のセキュリティアップデート、ユーザは適用を（JVN）

ショッピングサイト構築システム「WEB MART」に複数のXSS脆弱性（JVN）

オープンソースCMS「baserCMS」にセッション管理不備の脆弱性（JVN）

アップルが「Safari」のセキュリティアップデートを公開、ユーザは適用を（JVN）

特集

関連リンク

アクセスランキング

不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に～ 2025年「コンピュータウイルス・不正アクセスの届出状況」

金融庁「金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査」報告書公表

マルウェア解析者 16 名へインタビュー～ NICT「セキュリティ業務におけるマルウェア解析の調査」公開

Adobe Acrobat および Reader に悪用の事実を確認済みの脆弱性

AWS 環境に構築した SNS サイトへのハッキングデモ（MBSD）

関連記事

アップルが「QuickTime」のセキュリティアップデート、ユーザは適用を（JVN）

ショッピングサイト構築システム「WEB MART」に複数のXSS脆弱性（JVN）

オープンソースCMS「baserCMS」にセッション管理不備の脆弱性（JVN）

アップルが「Safari」のセキュリティアップデートを公開、ユーザは適用を（JVN）

特集

関連リンク

アクセスランキング

不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に ～ 2025年「コンピュータウイルス・不正アクセスの届出状況」

金融庁「金融機関のサードパーティ・サイバーセキュリティリスク管理強化に関する調査」報告書公表

マルウェア解析者 16 名へインタビュー ～ NICT「セキュリティ業務におけるマルウェア解析の調査」公開

Adobe Acrobat および Reader に悪用の事実を確認済みの脆弱性

AWS 環境に構築した SNS サイトへのハッキングデモ（MBSD）

不正アクセスの被害原因は「ID、パスワード管理の不備」が最多に～ 2025年「コンピュータウイルス・不正アクセスの届出状況」

マルウェア解析者 16 名へインタビュー～ NICT「セキュリティ業務におけるマルウェア解析の調査」公開