セキュリティ情報

Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2021-024
Critical
drupal-kanri 2021-08-02
拡張モジュール

2021/7/28(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Pages Restriction Access
●投稿日 :2021/7/28
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このプロジェクトでは、管理者があらかじめ定義されたページへの匿名および一般ユーザーからのアクセスを制限することができます。

このプロジェクトで使用されていた管理ルートには適切な権限がなく、信頼できないユーザーがモジュールの設定にアクセスしたり、作成や変更を行ったりすることができました。

Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004
Critical
drupal-kanri 2021-07-27
コア

2021/7/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/7/21
●セキュリティリスク :Critical
●脆弱性 :Third-party libraries

==概要==

Drupalプロジェクトは、PEARのArchive_Tarライブラリを使用しています。このライブラリはセキュリティアップデートをリリースしており、Drupalにも影響があります。

この脆弱性は、DrupalコアによるArchive_Tarライブラリの使用がシムリンクを許可していないため脆弱ではないという事実によって軽減されます。

もしコントリビューションコードやカスタムコードが、信頼できない可能性のあるソースを起源とするtarアーカイブ( .tar、.tar.gz、.bz2、.tlzなど)を抽出するために同ライブラリを使用している場合は、攻撃される恐れがあります。

Open Social - Critical - Authentication Bypass - SA-CONTRIB-2021-011
Critical
drupal-kanri 2021-06-03
拡張モジュール

2021/6/2(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Open Social
●投稿日 :2021/6/2
●セキュリティリスク :Critical
●脆弱性 :Authentication bypass

==概要==

Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。

含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。

この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。


Gutenberg - Critical - Access bypass - SA-CONTRIB-2021-007
Critical
drupal-kanri 2021-05-13
拡張モジュール

2021/5/12(日本時間:GMT+9)、Gutenbergにおいて脆弱性が発見されました。
インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Gutenberg
●投稿日 :2021/5/12
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。

モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。


Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002

2021-04-22
Critical
コア

2021/4/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/4/21
●セキュリティリスク :Critical
●脆弱性 :Cross-site scripting

==概要==

DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。

すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。


Drupal core - Critical - Third-party libraries - SA-CORE-2021-001

2021-01-24
Critical
コア

2021/1/20(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/1/20
●セキュリティリスク : Critical
●脆弱性 :Third-party libraries

==概要==

Drupalプロジェクトは、Drupalに影響を与えるセキュリティアップデートをリリースしたpearArchive_Tarライブラリを使用しています。

詳細については、以下を参照してください。

CVE-2020-36193

Drupal core - Critical - Arbitrary PHP code execution - SA-CORE-2020-013

2020-11-27
Critical
コア

2020/11/25(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2020/11/25
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
●CVE IDs :CVE-2020-28949
       CVE-2020-28948

==概要==

Drupalプロジェクトは、PEARArchive_Tarライブラリを使用しています。 PEAR Archive_Tarライブラリが、Drupalに影響を与えるセキュリティアップデートをリリースしました。詳細については、以下を参照してください。

SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider - Critical - Access bypass - SA-CONTRIB-2020-038

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
このモジュールを使用すると、SAML2.0準拠のIDプロバイダーに常駐しているユーザーが、DrupalWebサイトにログインできます。

モジュールには2つの認証バイパスの脆弱性があります。

Ink Filepicker - Critical - Unsupported - SA-CONTRIB-2020-037

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Ink Filepicker
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Unsupported

==概要==
セキュリティチームは、このプロジェクトをサポート対象外とマークしています。プロジェクトには、メンテナーによって修正されていない既知のセキュリティ問題があります。

このモジュールが統合されているサードパーティのサービスは廃止された可能性があります。

Media: oEmbed - Critical - Remote Code Execution - SA-CONTRIB-2020-036

2020-11-19
Critical
拡張モジュール

2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Media: oEmbed
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote Code Execution

==概要==
Media oEmbedは、SA-CORE-2020-012で説明されているように、特定のファイル名を適切にサニタイズしません。