メモ

IPA（情報処理推進機構）セキュリティセンターおよびJPCERT/CCは17日、「『Drupal』のForm APIにおける送信先URLを検証しない脆弱性」を、JVN（Japan Vulnerability Notes）において公表した。
「Drupal」は、オープンソースのコンテンツ管理システム（CMS）。今回公開された「JVN#45898075」によると、Drupal core 7.x系の7.13より前のバージョンには、Form APIに、送信先のURLを検証しない脆弱性が存在するという。そのため、遠隔の第三者によって、フォームの送信先を変更される可能性があり、結果として、認証情報などを窃取される可能性がある。

コンテンツ管理システム「Drupal」に、URLを検証しない脆弱性 | RBB TODAY