Entity Registration - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-017
Critical
拡張モジュール
2019/2/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト:OAuth 2.0 Client Login (Single Sign-On)
●投稿日 :2019/2/13
●セキュリティリスク:クリティカル 15∕25 AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:All
●脆弱性 : Multiple Vulnerabilities
==概要==
このモジュールを使用すると、電子メールアドレスやその他の設定に必要な質問など、登録者から情報を収集できます。
匿名ユーザーには「表示」権限があり、登録に含まれる情報にアクセスできます。
匿名ユーザーには「編集」権限があり、登録に含まれる情報は変更することができます。
匿名ユーザーには「削除」権限があり、登録自体を削除することができます。
この脆弱性は、匿名ユーザーロールに特定の登録タイプへの表示、編集、または削除のアクセス権が付与されている場合にのみ適用されることで緩和されます。
解決方法
最新バージョンをダウンロードしてください。
・Drupal 7.x用のRegistration 1.xモジュールを使用している場合は、 Registration 7.x-1.7ににアップグレードしてください。
・Drupal 7.x用のRegistration 2.xモジュールを使用している場合は、Registration 7.x-2.0-beta3にアップグレードしてください。