Sagepay - Critical - Access Bypass - SA-CONTRIB-2018-005

2018-02-01
Critical
拡張モジュール

2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass

==概要==
このモジュールは、Sagepay決済サービスを統合します。

決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。

==解決方法==。
最新バージョンをインストールしてください。
Drupal 7.xのsagepay_paymentモジュールを使用している場合は、 sagepay_payment 7.x-1.5バージョンにアップグレードすることをお勧めします。
Sagementプロジェクトページをご覧ください。

==元記事==
https://www.drupal.org/sa-contrib-2018-005