2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-040
●プロジェクト　： RESTful Web Services (拡張モジュール)
●バージョン　： 7.x
●投稿日　：2016/7/13
●セキュリティリスク　： Highly Critical
●脆弱性　： Arbitrary PHP code execution

==概要==
このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。
RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。
この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。

これに対する緩和要素はありません。この脆弱性は、匿名ユーザーによる攻撃を受ける可能性があります。

影響を受けるバージョンは、7.x-1.7以前の7.x-1.xバージョン及び7.x-2.6以前の7.x-2.xバージョンです。
該当する場合はRESTful Web Services 7.x-1.7 もしくはRESTful Web Services 7.x-2.6にアップグレードすることをお勧めします。

Drupalのコアには影響しませんし、 RESTful Web Servicesモジュールを使用しない場合は、何もする必要はありません。

こちらのプロジェクトページもご覧ください。（https://www.drupal.org/project/restws）

==元記事==
https://www.drupal.org/node/2765567