セキュリティ情報

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2022-014

2022-07-21
Critical
コア

2022/7/20(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2022/7/20
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

Drupal coreは、アップロード時に危険な拡張子を持つファイル名をサニタイズすると共に(参照:SA-CORE-2020-012)、ファイル名から先頭および末尾のドットを取り除いてサーバー設定ファイルがアップロードされるのを防ぎます(参照:SA-CORE-2019-010)。

Config Terms - Critical - Access bypass - SA-CONTRIB-2022-047
Critical
drupal-kanri 2022-07-01
拡張モジュール

2022/6/29(日本時間:GMT+9)、Config Termsモジュールにおいて脆弱性が発見されました。
インストールしているConfig Termsモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Config Terms
●投稿日 :2022/6/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass

概要

このモジュールにより、コンテンツの代わりに構成エンティティーに基づくタクソノミーのバージョンを作成・管理することができます。
用語や語彙、それらの構造をサイト構成としてエクスポート、インポート、管理ができます。

Wingsuit - Storybook for UI Patterns - Critical - Access bypass - SA-CONTRIB-2022-040
Critical
drupal-kanri 2022-05-19
拡張モジュール

2022/5/18(日本時間:GMT+9)、Wingsuitモジュールにおいて脆弱性が発見されました。
インストールしているWingsuitモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Wingsuit - Storybook for UI Patterns
●バージョン :8.x-2.x-dev / 8.x-1.x-dev
●投稿日 :2022/5/18
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

Wingsuitモジュールは、サイト構築者がStorybookでUIパターン(および/または)Twigコンポーネントを構築し、Drupalのマッピングコードなしでそれらを使用できるようにするためのものです。


このモジュールには管理フォームへのアクセスチェックがないため、攻撃者がWingsuitの設定を見たり変更したりすることができます。

SVG Formatter - Critical - Cross Site Scripting - SA-CONTRIB-2022-028
Critical
drupal-kanri 2022-03-11
拡張モジュール

2022/3/9(日本時間:GMT+9)、SVG Formatterモジュールにおいて脆弱性が発見されました。
インストールしているSVG Formatterモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :SVG Formatter
●投稿日 :2022/3/9
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting

==概要==

SVG Formatterモジュールは、Webサイトの一部としてSVG画像を使用するためのサポートを提供します。

モジュールの依存ライブラリenshrined/svg-sanitizeには、クロスサイトスクリプティングの脆弱性があります。

攻撃にはSVG画像のアップロードを可能にする権限が付与されたロールを取得する必要があることにより、この脆弱性は緩和されます。

Printer, email and PDF versions - Critical - Unsupported - SA-CONTRIB-2022-022

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Printer, email and PDF versions がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Printer, email and PDF versions
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Image Media Export Import - Critical - Unsupported - SA-CONTRIB-2022-021

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Image Media Export Import がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Image Media Export Import
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Remote Stream Wrapper - Critical - Unsupported - SA-CONTRIB-2022-020

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Remote Stream Wrapper がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Remote Stream Wrapper
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Cog - Critical - Unsupported - SA-CONTRIB-2022-018

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Cog がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Cog
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported


Media Entity Flickr - Critical - Unsupported - SA-CONTRIB-2022-017

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Media Entity Flickr がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Media Entity Flickr
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Vocabulary Permissions Per Role - Critical - Unsupported - SA-CONTRIB-2022-016

2022-01-31
Critical

2022/1/25(日本時間:GMT+9)、Vocabulary Permissions Per Role がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。

●プロジェクト :Vocabulary Permissions Per Role
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported