2024/11/13 (日本時間：GMT+9)、POST Fileにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： POST File
●投稿日　：2024/11/13
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting、Arbitrary PHP code execution

==概要== 
このモジュールは、サイト上に/postfile/uploadというエンドポイントを作成し、指定されたファイルシステム（公開、非公開など）に単一のファイルをアップロードするためのPOSTリクエストを受け付けます。

危険なファイル形式を含むどのファイル拡張子でも受け付けているため、allow_insecure_uploads設定を回避するために悪用される可能性があります。

この脆弱性は、攻撃者がpostfile upload権限を持つ役割である必要があるという事実によって緩和されています。 
 

==解決方法==

最新バージョンをインストールしてください。 
Drupal 10.3.x/11.xでPOST Fileを使用している場合はPOST File 1.0.2にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2024-060