セキュリティ情報

- Unsupported - SA-CONTRIB-2019-083~091
Critical
drupal-kanri 2019-11-14
拡張モジュール

2019/11/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

Open Social - Critical - Insecure Session Management - SA-CONTRIB-2019-075
Critical
drupal-kanri 2019-11-07
拡張モジュール

2019/11/7(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Open social
●投稿日 :2019/11/7
●セキュリティリスク : Critical
●脆弱性 :Insecure Session Management

==概要==
Open socialとはオンラインコミュニティ向けのDrupalのソフトウェアです。
追加されたソーシャルマジックログインモジュールはDrupalのパスワードを持っていない方には充分に検証しませんが、ビアエターナルシステムにログインしてみてください。
検証が不十分なため、ハッカーは有効なログインURLを偽造し、そのようなアカウントにログインすることが可能です。
この脆弱性は、ソーシャルマジックログインを有効にする必要があるという事実によって緩和されます。

Gutenberg - Critical - Access bypass - SA-CONTRIB-2019-069
Critical
drupal-kanri 2019-10-02
拡張モジュール

●プロジェクト:Gutenberg
●日付:2019年9月25日
●セキュリティリスク:Critical
●脆弱性:Access bypass

==概要==このモジュールは、ノード編集用の新しいUIエクスペリエンスであるGutenbergエディターを提供します。
Gutenbergエディターによって使用されるルートには、信頼できないユーザーが表示または変更できないコンテンツを表示および変更できる適切な権限がありません。

Imagecache External - Critical - Insecure session token management - SA-CONTRIB-2019-065
Critical
drupal-kanri 2019-08-30
拡張モジュール

2019/8/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Imagecache External
●投稿日 :2019/8/21
●セキュリティリスク : Critical15/25 AC:Complex/A:None/Cl:Some/ll:Some/E:Theoretical/TD:All
●脆弱性 :Insecure session token management

==概要==
このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の(以前に入力された)値を提案します。

またこのモジュールは、オートコンプリート結果を返す前に適切なアクセス許可を十分に確認することができません。

Forms Steps - Critical - Access bypass - SA-CONTRIB-2019-064
Critical
drupal-kanri 2019-08-28
拡張モジュール

2019/8/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Forms Steps
●投稿日 :2019/8/14
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
フォームの手順は、フォームモードを使用してフォームワークフローを作成するためのUIを提供します。迅速で構成可能なマルチステップフォームを作成します。

このモジュールは、マルチステップフォームのさまざまなステップで作成されたエンティティを表示できるワークフローエンティティにアクセスするためのユーザー権限を十分にチェックしません。

Existing Values Autocomplete Widget - Critical - Access bypass - SA-CONTRIB-2019-060
Critical
drupal-kanri 2019-07-30
拡張モジュール

2019/7/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Existing Values Autocomplete Widget
●投稿日 :2019/7/24
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の(以前に入力された)値を提案します。

またこのモジュールは、オートコンプリート結果を返す前に適切なアクセス許可を十分に確認することができません。

この脆弱性は、攻撃者がオートコンプリートコールバックコントローラへのルートを知っているため発生します。

Facebook Messenger Customer Chat Plugin - Critical - Access bypass - SA-CONTRIB-2019-059
Critical
drupal-kanri 2019-07-28
拡張モジュール

2019/7/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Facebook Messenger Customer Chat Plugin
●投稿日 :2019/7/24
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==

Facebook Messengerカスタマーチャットプラグインモジュールを使用すると、プラグインをDrupalサイトに追加できます。

このモジュールは管理者ページのユーザー権限を必要としません。

ImageCache Actions - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-056
Critical
drupal-kanri 2019-07-22
拡張モジュール

2019/7/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :ImageCache Actions
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
imagecacheアクションモジュールは、画像スタイルを作成するために使用できる画像効果を定義します。"Image styles admin"サブモジュールは、画像スタイルを複製、エクスポート、インポートするための追加機能があります。このモジュールは、unserialize()を使用して、入力を処理するときにunserialize()にセキュリティ上の問題があるサイトに画像スタイルをインポートします。

Drupal core - Critical - Access bypass - SA-CORE-2019-008
Critical
drupal-kanri 2019-07-22
コア

2019/7/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==

Drupal 8.7.4では、Workspacesモジュールが有効になっていると、アクセスバイパス条件が作成されます。

これはワークスペースモジュールを無効にすることで軽減できます。Drupal 8.7.4以外のリリースには影響しません。

Drupal 8.7.3以前、Drupal 8.6.x以前、およびDrupal 7.xは影響を受けません。

==解決方法==。
サイトがDrupal 8.7.4を実行している場合は、Drupal 8.7.5にアップグレードしてください。

Custom Permissions - Critical - Access bypass - SA-CONTRIB-2019-055
Critical
drupal-kanri 2019-07-22
拡張モジュール

2019/7/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Custom Permissions
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールを使用すると、管理UIを介して追加のカスタム権限を追加および管理ができます。

モジュールはこのページへの適切なアクセス許可を十分に侵入を防げていません。

この脆弱性は、攻撃者がカスタムアクセス許可管理フォームのログイン方法知っているためです。

==解決方法==。

最新版をインストールしてください。