2025/1/15 (日本時間：GMT+9)、AI (Artificial Intelligence)において脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：AI (Artificial Intelligence)
●投稿日　：2025/1/15
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Request Forgery
●対象バージョン　：>1.0.0 <1.0.2

==概要== 
Drupal AIモジュールは、あらゆる種類のAI（複数のベンダーによる）を使用してDrupalサイトに人工知能を簡単に統合するためのフレームワークを提供します。サブモジュールのAIチャットボットとAIアシスタントAPIにより、ユーザーは「チャット」インターフェースを介してDrupalサイトと対話することができます。

AIチャットボットモジュールは、Deepchatチャットボットにおけるクロスサイトリクエストフォージェリを防止していません。これにより、攻撃者が特権ユーザーになりすましてリクエストを偽造するシナリオを作成できる可能性があります。AI検索サブモジュールと組み合わせた場合、攻撃者がアクセスすべきでないインデックス化されたデータをAIアシスタントが公開してしまう可能性があります。外部AIエージェントモジュールと組み合わせた場合、AIアシスタントがサイトの構成、フィールド、コンテンツタイプ、語彙の公開や変更許可をする結果となる可能性があります。特権アクセス権限を持つカスタムビルドエージェントを使用するサイトは、この脆弱性の悪用により、より大きなリスクにさらされる可能性があります。

この脆弱性は以下の要因によって緩和されます。

• 攻撃対象となるユーザーは「access deepchat api」権限とアシスタントへの権限を持つロールでアクティブなセッションを持っている必要があります。
• データを抽出するには、対象サイトが許容的なCORSポリシーを持っており、クロスオリジンリクエストの結果が読み取れるようになっている必要があります。
• データを変更するには、対象となるユーザーは設定済みのエージェントを使用する権限を持っている必要があります。

==解決方法==

最新バージョンをインストールしてください。 
AIモジュールを使用している場合はAI 1.0.2にアップグレードしてください。
アップデートできない場合はAI Chatbotサブモジュールをアンインストールしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-003