Novalnet Payment Module Ubercart - Critical - SQL Injection - Unsupported - SA-CONTRIB-2015-116 2015年6月3日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID：　DRUPAL-SA-CONTRIB-2015-116
●プロジェクト：　Novalnet Payment Module- Ubercart (拡張モジュール)
●バージョン：　6.x, 7.x
●投稿日：　2015/6/3
●セキュリティリスク：　Critical
●脆弱性：　SQL Injection

==概要==
このモジュールでは、UbercartにNovalnet支払いサービスプロバイダを追加できます。 モジュールが正常にデータベースAPIを使用しないことで、データベースクエリをサニタイズすることができません。これにより、SQLインジェクションの脆弱性につながります。 影響を受けたパスはCSRFに対して保護されていないので、悪意のあるユーザーが特別な細工がされたURLへの要求が引き金により、この脆弱性を悪用することができます。 この脆弱性は、悪意のある要求が特定のNovalnetのIPアドレスからアクセスしなければならないことによって軽減されます。 Drupalのコアには影響しません。Novalnet Payment Module Ubercartモジュールを使用しない場合は、何もする必要はありません。
==元記事==
https://www.drupal.org/node/2499787