セキュリティ情報

Drupal core - Critical - Cache poisoning - SA-CORE-2023-006

Critical

drupal-kanri 2023-09-21

コア

2023/9/20、Drupal coreにおいて脆弱性が発見されました。
インストールしているバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2023/9/20
●セキュリティリスク　：Critical
●脆弱性　：Cache poisoning

Read more about Drupal core - Critical - Cache poisoning - SA-CORE-2023-006

Mail Login - Critical - Access bypass - SA-CONTRIB-2023-045

Critical

drupal-kanri 2023-09-14

拡張モジュール

2023/9/13、Mail Loginにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Mail Login
●投稿日　：2023/9/13
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールを使うと最小限の設定でユーザがメールアドレスでログインできるようになります。

Drupalコアには、ブルートフォース攻撃に対する洪水制御メカニズムによる保護が含まれています。Mail Loginモジュールの機能はこの洪水制御を複製せず、ブルートフォース攻撃を可能にしてしまいました。

Read more about Mail Login - Critical - Access bypass - SA-CONTRIB-2023-045

Shorthand - Critical - Access bypass - SA-CONTRIB-2023-038

Critical

drupal-kanri 2023-08-24

拡張モジュール

2023/8/23、Shorthandにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Shorthand
●投稿日　：2023/8/23
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールでは「美しくシンプルなストーリーテリング」アプリShorthandとの統合ができます。

このモジュールは全ストーリーのリストを表示させる際に適切に権限を確認していません。

==解決方法==
最新バージョンをインストールしてください。

Drupal 8+にてShorthandモジュール使用している場合、 Shorthand 4.0.3にアップグレードしてください。

Read more about Shorthand - Critical - Access bypass - SA-CONTRIB-2023-038

Forum Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-035 / Flexi Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-036

Critical

drupal-kanri 2023-08-24

拡張モジュール

2023/8/23、Forum AccessおよびFlexi Accessにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Forum Access、Flexi Access
●投稿日　：2023/8/23
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

Read more about Forum Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-035 / Flexi Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-036

ACL - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-034

Critical

drupal-kanri 2023-08-24

拡張モジュール

2023/8/23、ACLにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：ACL
●投稿日　：2023/8/23
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

Read more about ACL - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-034

Two-factor Authentication (TFA) - Critical - Access bypass - SA-CONTRIB-2023-030

2023-07-13

Critical

拡張モジュール

2023/7/12、Two-factor Authentication (TFA)において脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Two-factor Authentication (TFA)
●投稿日　：2023/7/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールではユーザーに、パスワード認証に加えて二つ目の認証方法を許可または要求することが可能です。

現在このモジュールはパスワードリセットページを含むコアのログインルートが第二要素の認証情報を要求することを十分に保証していません。

この脆弱性は、攻撃者は第一要素のログイン認証情報を入手する必要があるという点から軽減されています。

Read more about Two-factor Authentication (TFA) - Critical - Access bypass - SA-CONTRIB-2023-030

Mailchimp - Critical - Cross Site Request Forgery - SA-CONTRIB-2023-025

Critical

drupal-kanri 2023-06-29

拡張モジュール

2023/6/28、Mailchimpにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Mailchimp
●投稿日　：2023/6/28
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Request Forgery

==概要==
このモジュールではメール配信サービスであるMailchimpとの統合が可能になります。
OAuth認証に結びついているルートはクロスサイトリクエストフォージェリ攻撃に対して保護されていません。

==解決方法==
最新バージョンをインストールしてください。
Drupal 8.xにてmailchimpモジュールを使用している場合はmailchimp 2.2.2へアップグレードしてください。

Read more about Mailchimp - Critical - Cross Site Request Forgery - SA-CONTRIB-2023-025

Album Photos - Critical - Access bypass - SA-CONTRIB-2023-022

2023-06-22

Critical

拡張モジュール

2023/6/21、Album Photosにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Album Photos
●投稿日　：2023/6/21
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールを使うとWebサイト上で写真やアルバムを作成・管理することができます。

このモジュールではユーザーが「すべての写真を編集可能」あるいは「すべての写真を削除可能」の権限が付与されている場合にノードアクセスが十分に確認されません。

この脆弱性は、攻撃者は「すべての写真を編集可能」または「すべての写真を削除可能」の権限を持つ必要があるという点から軽減されています。

==解決方法==
最新バージョンをインストールしてください。

Read more about Album Photos - Critical - Access bypass - SA-CONTRIB-2023-022

Protected Pages - Critical - Access bypass - SA-CONTRIB-2023-013

2023-04-13

Critical

拡張モジュール

2023/4/12、Protected Pagesにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Protected Pages
●投稿日　：2023/4/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==
このモジュールを使うとパスワードを利用してページを安全にすることが可能となりますが、現在ページコンテンツへのアクセスが十分に制限されておりません。

==解決方法==
Drupal8/9/10にてProtected Pagesモジュールを使用している場合はProtected Pages 8.x-1.6へアップグレードしてください。

Read more about Protected Pages - Critical - Access bypass - SA-CONTRIB-2023-013

Responsive media Image Formatter - Critical - Unsupported - SA-CONTRIB-2023-011

2023-03-16

Critical

拡張モジュール

2023/3/15、Responsive media Image Formatterにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Responsive media Image Formatter
●投稿日　：2023/3/15
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要==
セキュリティチームはこのプロジェクトを非サポートとしました。このプロジェクトにはメインテナーによって修正されていない既知の問題があります。このプロジェクトを引き続き維持したい場合はこちらをお読みください：https://www.drupal.org/node/251466#procedure---own-project---unsupported

Read more about Responsive media Image Formatter - Critical - Unsupported - SA-CONTRIB-2023-011

セキュリティ情報を購読