2017年3月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-030
●プロジェクト　： Password Reset Landing Page (PRLP) (拡張モジュール)
●バージョン　： 8.x
●投稿日　：2017/3/8
●セキュリティリスク　： Critical
●脆弱性　： Access bypass, Privilege escalation

==概要==
このモジュールは、ログイン手順の間にユーザーのパスワードを変更できるように、パスワードリセットのランディングページにフォームを追加します。

このモジュールはすべてのアクセストークンを十分には検証しません。
これは攻撃者に、任意のユーザーのパスワードを変更し、そのアカウントにアクセスすることを可能にします。
攻撃者が不正使用するためには、サイトのアクティブアカウントを持っている必要があります。

==影響を受けるバージョン==
8.x-1.3以前のPRLPバージョンです。
Drupalコアには影響がありません。Password Reset Landing Page (PRLP)拡張モジュールを使用していない場合は、何もする必要はありません。

==解決方法==
Drupal 8.xのPRLPモジュールを使用している場合は PRLP 8.x-1.3にアップグレードすることをお勧めします。
より詳しい説明は https://www.drupal.org/project/prlp をご覧ください。

==元記事==
https://www.drupal.org/node/2858880