SA-CONTRIB-2014-041- Block Search - SQL Injection 2014年4月16日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CONTRIB-2014-041
●プロジェクト：　Block Search (拡張モジュール)
●バージョン：　6.x
●投稿日：　2014/04/16
●セキュリティリスク：　Highly Critical
●リモート接続による悪用
●脆弱性：　SQL Injection

==概要==
Block Searchモジュールは、ブロックを管理する別の方法を提供します。 このモジュールでは，SQL injection を許可しているデータベースに直接渡されるユーザーが提供する文字列を扱う場合，正しくDrupalのデータベースAPIを使用することができません。 この脆弱性は以下の制限から，軽減されることが確認されています。
1．攻撃者が権限を持つユーザにCSRF攻撃を行わなくてはならない
2．攻撃者が「admin blocks」または「set region」の許可権限がなくてならない
==元記事==
https://drupal.org/node/2242463