SA-CORE-2016-004

2016年9月21日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。
インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-004
●プロジェクト　：　Drupal core
●バージョン　：　8.x
●投稿日　　　：　2016/9/21
●セキュリティリスク：　Critical
●脆弱性　　　：　Multiple Vulnerabilities

==概要==

【Users without "Administer comments" can set comment visibility on nodes they can edit. (Less critical)】
ノードの編集権限を持つユーザーが、ノード用のコメントに可視性をセットすることができます。
これは、管理者コメント承認を持つユーザーを制限する必要があります。

【Cross-site Scripting in http exceptions (critical)】
ロードされた場合、犠牲となるブラウザに任意のコードを実行する、特別で精巧なURLを攻撃者が作成できます。
Drupalは適切に例外をサニタイズすることができませんでした。

【Full config export can be downloaded without administrative permissions (critical)】
システムの臨時経路は全設定のエクスポートのダウンロードを許可します。
全設定のエクスポートは、エクスポート設定承認によってそれらに制限される必要があります。

影響を受けるバージョンは、
Drupal 8.xバージョンです。

解決策：
Drupal 8.1.10に更新してください。

==元記事==

https://www.drupal.org/SA-CORE-2016-004