セキュリティ情報

Paragraphs table - Critical - Access bypass, Information Disclosure - SA-CONTRIB-2024-036

Critical
拡張モジュール

2024/9/4 (日本時間:GMT+9)、Paragraphs tableにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Paragraphs table
●投稿日 :2024/9/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass、Information Disclosure

==概要== 
このモジュールはフィールドコレクションをテーブルとして表示できるようにするものです。Display Suiteやフィールド権限をサポートし、修正、削除、複製などの操作を提供します。

このモジュールには、モジュールが提供するルートに対する要求が十分に制限されていないため、複数の脆弱性があります。  
 

Opigno Learning path - Critical - Arbitrary PHP code execution - SA-CONTRIB-2024-029

Critical
拡張モジュール

2024/8/7 (日本時間:GMT+9)、Opigno Learning pathにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Opigno Learning path
●投稿日 :2024/8/7
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

Opigno module - Critical - Arbitrary PHP code execution - SA-CONTRIB-2024-028

Critical
拡張モジュール

2024/8/7 (日本時間:GMT+9)、Opigno moduleにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Opigno module
●投稿日 :2024/8/7
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

Opigno group manager - Critical - Arbitrary PHP code execution - SA-CONTRIB-2024-027

Critical
拡張モジュール

2024/8/7 (日本時間:GMT+9)、Opigno group managerにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Opigno group manager
●投稿日 :2024/8/7
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

Advanced PWA - Critical - Access bypass - SA-CONTRIB-2024-017

Critical
拡張モジュール

2024/4/24 (日本時間:GMT+9)、Advanced PWAにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Advanced PWA
●投稿日 :2024/4/24
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要== 
プログレッシブウェブアプリケーション(PWA)は、通常のウェブページやウェブサイトのように読み込まれるウェブアプリケーションですが、オフラインでの作業、プッシュ通知、デバイスのハードウェアアクセスといった、従来はネイティブアプリケーションでしか提供されなかった機能をユーザーに提供することができます。

このモジュールは、設定フォームへのアクセスを十分に保護しておらず、権限のない不正なユーザーがモジュール設定を閲覧および変更することを許可してしまいます。
 

==解決方法==

Registration role - Critical - Access bypass - SA-CONTRIB-2024-015

Critical
拡張モジュール

2024/3/6 (日本時間:GMT+9)、Registration roleにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Registration role
●投稿日 :2024/3/6 
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要== 
Registration roleモジュールでは、管理者が新しいユーザに自動的に割り当てる役割を選択できるようになります。選択された役割は新規登録者に割り当てられます。 

このモジュールには、コードをアップグレードしたサイトがDrupalアップデートプロセス(例:update.php)を実行していない場合の論理エラーがあります。 

この脆弱性は、コードを更新し標準的なアップデートを実行するプロセスに従ったサイトでは問題が存在しないという事実によって軽減されます。


 

==解決方法==

Mail Login - Critical - Access bypass - SA-CONTRIB-2023-045

Critical
拡張モジュール

2023/9/13、Mail Loginにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Mail Login
●投稿日 :2023/9/13
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==
このモジュールを使うと最小限の設定でユーザがメールアドレスでログインできるようになります。

Drupalコアには、ブルートフォース攻撃に対する洪水制御メカニズムによる保護が含まれています。Mail Loginモジュールの機能はこの洪水制御を複製せず、ブルートフォース攻撃を可能にしてしまいました。

Shorthand - Critical - Access bypass - SA-CONTRIB-2023-038

Critical
拡張モジュール

2023/8/23、Shorthandにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Shorthand
●投稿日 :2023/8/23
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==
このモジュールでは「美しくシンプルなストーリーテリング」アプリShorthandとの統合ができます。

このモジュールは全ストーリーのリストを表示させる際に適切に権限を確認していません。

==解決方法==
最新バージョンをインストールしてください。

Drupal 8+にてShorthandモジュール使用している場合、 Shorthand 4.0.3にアップグレードしてください。

Forum Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-035 / Flexi Access - Critical - Arbitrary PHP code execution - SA-CONTRIB-2023-036

Critical
拡張モジュール

2023/8/23、Forum AccessおよびFlexi Accessにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Forum AccessFlexi Access
●投稿日 :2023/8/23
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution