SA-CONTRIB-2015-032 - Node Invite - Multiple vulnerabilities 2015年1月28日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CONTRIB-2015-032
●プロジェクト：　Node Invite (拡張モジュール)
●バージョン：　6.x
●投稿日：　2015/1/28
●セキュリティリスク：　Critical
●脆弱性：　Cross Site Scripting, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities

==概要==
Node Inviteモジュールは、ノードタイプでRSVPに人を招待することができ、イベントを表すように設定されています。
このモジュールがいくつかのリスト内のノードのタイトルを十分にサニタイズしないので、悪意のあるユーザーがコードを挿入することができます。

それによって、クロスサイトスクリプティング（XSS）の脆弱性につながります。
この脆弱性は、攻撃者がRSVPのために使用されるように構成されたノードを作成もしくは編集する権限を持つことによって軽減されます。
さらに、いくつかのURLは、CSRFに対して保護されていませんので、悪意のあるユーザーが"node_invite_can_manage_invite"を引き起こす可能性があります。
権限が特別に細工されたURLにリクエストをするため、ブラウザを取得することにより、ノードの招待を再度有効にします。 最後に、このモジュールはいくつかの宛先パラメータが、内部URLであることは確認していません。
それによってオープンリダイレクトの脆弱性につながっています。

影響を受けるバージョン：Node Invite 6.x-2.x versions prior to 6.x-2.5. Drupalのコアには影響しません。
Node Inviteモジュールを使用していない場合は、何もする必要はありません。

==元記事==
https://www.drupal.org/node/2415899