2023/8/23、Forum AccessおよびFlexi Accessにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Forum Access、Flexi Access
●投稿日　：2023/8/23
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

==概要==
Forum AccessモジュールおよびFlexi Accessモジュールが行うユーザーインプットが安全ではない場合があります。これは結果としてオブジェクトインジェクション経由のリモートコード実行となる可能性があります。

Forum Accessモジュールに対する脆弱性は、攻撃者は”フォーラムを管理する”権限が必要であるという点によって軽減されています。

Flexi Accessモジュールに対する脆弱性は、攻撃者は例えば”access flexiaccess”と”flexiaccess view”というように組み合わされた権限が必要であるという点によって軽減されています。”administer flexiaccess”単体の権限では脆弱な機能に対するアクセス権を持ちません。

Forum AccessモジュールおよびFlexi Accessモジュールが依存するACLモジュールに関するSA-CONTRIB-2023-034と共に、セキュリティの対象となるクライアントモジュールに対してCoordinated Security Advisoriesがリリースされています。

==解決方法==
最新バージョンをインストールしてください。

・Drupal7.xにてForum Accessモジュール使用している場合、 Forum Access 7.x-1.6にアップグレードしてください。Forum Access8.x-1.0-beta3またはそれ以下を使用している場合は Forum Access 8.x-1.0にアップグレードしてください。

・Drupal7.xにてFlexi Accessモジュール使用している場合、 Flexi Access 7.x-1.3にアップグレードしてください。

ACLモジュールもアップデートが必要となります。

==元記事==
https://www.drupal.org/sa-contrib-2023-035
https://www.drupal.org/sa-contrib-2023-036