Commerce Authorize.Net SIM/DPM Payment Methods - Access Bypass - DRUPAL-SA-CONTRIB-2016-006

2016年2月17日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-006
●プロジェクト：　Commerce Authorize.Net SIM/DPM Payment Methods (拡張モジュール)
●バージョン　：　7.x
●投稿日　　　：　2016/2/17
●セキュリティリスク：　Critical
●脆弱性　　　：　Access bypass

==概要==

このモジュールは、自分のSIM（ホストされた支払いページ）またはDPMのいずれかのメカニズムを使用してAuthorize.Net支払いゲートウェイを介して、Drupalのコマースの受注のためのクレジットカード支払いができます。 またこのモジュールは支払の成功なしに注文完了を引き起こす早まった起動を十分に防げません。

この脆弱性は、攻撃者がリダイレクトURLと、現在の支払リダイレクトキーの形式を知っているという事実によって軽減されます。 途中でこのように完了した注文が、成功した支払いを記録するため、未払い残高を表示しない点もまた注目です。

影響を受けるバージョンはCommerce Authorize.Net SIM/DPM Payment Methodsモジュールのバージョン7.x-1.4以前です。
こちらのプロジェクトページ（https://www.drupal.org/project/commerce_authnet_simdpm）もご覧ください。

Drupalのコアには影響しません。Commerce Authorize.Net SIM/DPM Payment Methodsを使用しない場合は、何もする必要はありません。

もし、Drupalの7.xでCommerce Authorize.Net SIM/DPM Payment Methodsモジュールを使用している場合には、Commerce Authorize.Net SIM/DPM Payment Methods 7.x-1.4へのアップグレード（https://www.drupal.org/node/2670212）をおすすめします。

==元記事==

https://www.drupal.org/node/2670632