SA-CONTRIB-2014-050-Commerce Postfinance ePayment - Access Bypass 2014年5月14日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CONTRIB-2014-050
●プロジェクト：　Commerce Postfinance ePayment (拡張モジュール)
●バージョン：　7.x
●投稿日：　2014/05/14
●セキュリティリスク：　Critical
●リモート接続による悪用
●脆弱性：　Access bypass

==概要==
Commerce Postfinance ePaymentモジュールは、電子決済サービスプロバイダのための商取引の支払い方法が用意されています。 このモジュールは支払い通知(IPN)メッセージを検証しません。 あるサイトに対して細工したIPNメッセージを送信する事によって，攻撃目的のユーザが不正にトランザクションを作成、注文のステータスを操作することが可能にしてしまいます。 これにより、攻撃者が支払いをすることなく商品の購入を出来るようになってしまう可能性があります。 この脆弱性は支払いサービスプロバイダから支払いログとサイトの注文履歴を比較し、攻撃を特定することで軽減されます。 CVE識別番号はDruplaセキュリティチームのプロセスによって要求され、発行時に追加されます。
==元記事==
https://drupal.org/node/2267381