Entity Delete - Critical - Multiple Vulnerabilities - SA-CONTRIB-2018-040

2018-06-12
Critical
拡張モジュール

2018/6/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Entity Delete

●投稿日 :2018/6/12

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported

==概要==
このモジュールを使用すると、あらゆるタイプのエンティティを一括して削除できます。 モジュールは、ユースケースの下でアクセス許可を十分に検証せず、アクセスバイパスにつながります。また、モジュールは、削除プロセスでクロスサイトリクエストに対して保護ができません。Cross Site Request Forgeryの脆弱性に対する追加の緩和はありません。

==解決方法==。

最新バージョンをインストールします。

Drupal 8.xのEntity Deleteモジュールを使用する場合は、Entity Delete 8.x-1.4
にアップグレードしてください

==報告者==
Balazs Janos Tatar

==元記事==
https://www.drupal.org/sa-contrib-2018-040