セキュリティ情報

Mail Login - Critical - Access bypass - SA-CONTRIB-2025-088

Critical
拡張モジュール

2025/7/9 (日本時間:GMT+9)、Mail Loginにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Mail Login
●投稿日 :2025/7/9
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>3.0.0 <3.2.0 || >=4.0.0 <4.2.0
 

==概要== 
このモジュールは、最小限の設定でユーザーがメールアドレスでログインできるようにします。

このモジュールには、ログインフォームに対するブルートフォース攻撃への保護機能が一部組み込まれていましたが、これらの機能は不完全でした。攻撃者はブルートフォース保護を回避しアカウントへのアクセスを不正に取得する可能性があります。
 

Config Pages Viewer - Critical - Access bypass - SA-CONTRIB-2025-086

Critical
拡張モジュール

2025/7/2 (日本時間:GMT+9)、Config Pages Viewerにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Config Pages Viewer
●投稿日 :2025/7/2
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<1.0.4
 

==概要== 
このモジュールは、config_pagesをコンテンツエンティティとして使用できるようにします。

このモジュールはconfig_pagesコンテンツをレンダリングする前に権限やエンティティへのアクセス権限を確認していません。
 

Enterprise MFA - TFA for Drupal - Critical - Access bypass - SA-CONTRIB-2025-082

Critical
拡張モジュール

2025/6/25 (日本時間:GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Enterprise MFA - TFA for Drupal
●投稿日 :2025/6/25
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<4.8.0 || >=5.2.0 <5.2.1 || 5.0.* || 5.1.*
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは既知のログイン経路が十分に保護されていることを保証していません。

この脆弱性は、攻撃者がユーザーのユーザー名とパスワードを取得する必要があるという事実によって緩和されています。
 

Advanced File Destination - Critical - Multiple vulnerabilities - SA-CONTRIB-2025-057

Critical
拡張モジュール

2025/5/15 (日本時間:GMT+9)、Advanced File Destinationにおいて脆弱性が発表されました。
対象モジュールをお使いの場合は対応をおすすめします。

●プロジェクト :Advanced File Destination
●投稿日 :2025/5/15
●セキュリティリスク :Critical
●脆弱性 :Multiple vulnerabilities
 

Enterprise MFA - TFA for Drupal - Critical - Access bypass - SA-CONTRIB-2025-056

Critical
拡張モジュール

2025/5/7 (日本時間:GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Enterprise MFA - TFA for Drupal
●投稿日 :2025/5/7
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<4.7.0 || >=5.0.0 <5.2.0
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは既知のログイン経路が十分に保護されていることを保証していません。

この脆弱性は、攻撃者がユーザーのユーザー名とパスワードを取得する必要があるという事実によって緩和されています。
 

Enterprise MFA - TFA for Drupal - Critical - Access bypass - SA-CONTRIB-2025-055

Critical
拡張モジュール

2025/5/7 (日本時間:GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Enterprise MFA - TFA for Drupal
●投稿日 :2025/5/7
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<4.7.0 || >=5.0.0 <5.2.0
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。

このモジュールは特定の機密ルートを十分に保護しておらず、攻撃者がTFAに関連するさまざまな設定を表示または変更できる可能性があります。
 

Enterprise MFA - TFA for Drupal - Critical - Cross Site Request Forgery - SA-CONTRIB-2025-054

Critical
拡張モジュール

2025/5/7 (日本時間:GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Enterprise MFA - TFA for Drupal
●投稿日 :2025/5/7
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery
●対象バージョン :<4.7.0 || >=5.0.0 <5.2.0
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは、特定のルートについてクロスサイトリクエストフォージェリ(CSRF)攻撃から十分に保護していません。
 

Restrict route by IP - Critical - Cross Site Request Forgery - SA-CONTRIB-2025-047

Critical
拡張モジュール

2025/5/7 (日本時間:GMT+9)、Restrict route by IPにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Restrict route by IP
●投稿日 :2025/5/7
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery
●対象バージョン :<1.3.0
 

==概要== 
Restrict route by IPモジュールは、IPアドレスに基づくルート制限を管理するためのインターフェースを提供します。

このモジュールは、特定のルートについてCSRF攻撃からの保護が不十分です。

この脆弱性は、攻撃者がルートのマシン名を知っている必要があるという事実によって緩和されています。
 

Sportsleague - Critical - Unsupported - SA-CONTRIB-2025-045

Critical
拡張モジュール

2025/4/24 (日本時間:GMT+9)、Sportsleagueにおいて脆弱性が発表されました。


●プロジェクト :Sportsleague
●投稿日 :2025/4/24
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

UEditor - 百度编辑器 - Critical - Unsupported - SA-CONTRIB-2025-044

Critical
拡張モジュール

2025/4/24 (日本時間:GMT+9)、UEditor - 百度编辑器において脆弱性が発表されました。


●プロジェクト :UEditor - 百度编辑器
●投稿日 :2025/4/24
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported