SA-CORE-2014-002 - Drupal core - Information Disclosure 2014年4月16日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CORE-2014-002
●プロジェクト：　Drupalコア
●バージョン：　6.x,7.x
●投稿日：　2014/04/16
●セキュリティリスク：　Moderately critical
●リモート接続による悪用
●脆弱性：　情報漏洩

==概要==
DrupalのAPI形式は、ユーザー入力などを一時記憶するために、ビルトインサポートをもっています。 これは、多段階のフォームでしばし使用されており、Ajaxはサーバー上の暫定ユーザー入力にアクセスし、それらを更新するためにAjax対応のフォームで必要とされています。 ページが匿名ユーザーのためにキャッシュされている場合、フォームが匿名ユーザー間で漏洩している場合があります。 その結果、匿名ユーザーによって記録されたフォームと同じフォームを同時に使っている場合、相手に情報が漏れてしまうおそれがあります。 この脆弱性は、Drupalコアはデフォルトで匿名ユーザーにそのようなフォームを公開しないことで軽減されます。 ただし、関連するモジュールまたはDrupal APIは、上記条件の下でフォームを活用している個々のサイトに対して脆弱になる可能性があります。 ==注意== このセキュリティ・リリースは匿名のユーザーにAjaxあるいはmulti-stepフォームを公開し、フォームは(Drupal、または外部システムによって)キャッシュされたページに表示されているサイト上のコードのコードの更新が必要な場合があります。 詳細についてはDrupal 7.27、6.31のリリースノートを参照してください。
==元記事==
https://drupal.org/SA-CORE-2014-002