【セキュリティパッチ情報】SA-CONTRIB-2014-053 - Field API Tab Editor (FATE) - Access bypass

Critical
拡張モジュール

SA-CONTRIB-2014-053 - Field API Tab Editor (FATE) - Access bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-SA-CONTRIB-2014-053
●プロジェクト: Field API Tab Editor (拡張モジュール)
●バージョン : 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass

==概要==
このモジュールは、 1.カスタムページを経由して,個別に編集ができる 2.エンティティのページのタブを経由してアクセスできる という2つの機能が,このモジュール導入によって可能になります。 現在のユーザーがエンティティを編集するためのアクセス権を持っていない場合、hook_menuに誤った値を返してしまいます。 このため、アクセス権を持っていないはずのユーザーがこのモジュールを介してフィールドの編集を行うことを許可してしまいます。 この問題はサイト管理者がフィールドの編集を可能にすることによって軽減することができます。 この設定は自動でもデフォルトでもないためユーザーが手動で行う必要があります。 Field API Tab Editor (FATE)7.x-1.xを使用している方は7.x-1.1にアップデートしてください。
==元記事==
https://drupal.org/node/2267539