SA-CONTRIB-2015-042 - Node basket - Multiple vulnerabilities - Unsupported 2015年2月11日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CONTRIB-2015-042
●プロジェクト：　Node basket (拡張モジュール)
●バージョン：　6.x
●投稿日：　2015/2/11
●セキュリティリスク：　Critical
●脆弱性：　Cross Site Scripting, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities

==概要==
Node basketモジュールは、バスケット内のノードを拾うことができます。 このモジュールは一部のページでユーザー指定されたテキストを充分にサニタイズしていません。
それによりクロスサイトスクリプティング（XSS）の脆弱性を公開します。

この脆弱性は、攻撃者が/編集ノードを作成する権限を持つユーザーであるという事実によって軽減されます。 また、CSRFの脆弱性を持っています。
悪意のあるユーザーが特別に細工されたURLにリクエストをするためにブラウザを取得することにより、別のユーザのバスケットのノードを追加/削除する可能性があります。
また、モジュールは、オープンリダイレクトの脆弱性が存在します。

Node basketモジュールを使用している場合は、アンインストールしてください。
さらに、Node basketプロジェクトページを参照してください。

Drupalのコアには影響しません。
Node basketモジュールを使用しない場合は、何もする必要はありません。

==元記事==
https://www.drupal.org/node/2424419