Third-party module における脆弱性が発見されました

拡張モジュール

2014年1月8日(日本時間:GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・重要度:Moderately critical
・対象バージョン:Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン
・脆弱性1:権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。
・脆弱性2:taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)
・脆弱性3:entity_access() API が、公開されていないコメントを保護していない恐れ
・改善点1:Entity API module for Drupal 7.x-1.3 で以上の3点を対応済み
【最新バージョン】
entity 7.x-1.3
【Drupal.org による発表】
https://drupal.org/node/2169595