2024/11/13 (日本時間：GMT+9)、POST Fileにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： POST File
●投稿日　：2024/11/13
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting、Arbitrary PHP code execution

==概要== 
このモジュールは、サイト上に/postfile/uploadというエンドポイントを作成し、指定されたファイルシステム（公開、非公開など）に単一のファイルをアップロードするためのPOSTリクエストを受け付けます。

危険なファイル形式を含むどのファイル拡張子でも受け付けているため、allow_insecure_uploads設定を回避するために悪用される可能性があります。

この脆弱性は、攻撃者がpostfile upload権限を持つ役割である必要があるという事実によって緩和されています。 
 

2024/10/23 (日本時間：GMT+9)、Monster Menusにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Monster Menus
●投稿日　：2024/10/23
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

==概要== 
このモジュールは、非常に細かく分散された権限構造を持つページ内でノードをグループ化することを可能にします。

特定のケースで、PHPのunserialize()関数にデータを渡す前に十分なサニタイズ処理が行われないことがあり、それにより任意のコード実行につながる可能性があります。

==解決方法==

2024/10/9 (日本時間：GMT+9)、wkhtmltopdfにおいて脆弱性が発表されました。


●プロジェクト　：wkhtmltopdf
●投稿日　：2024/10/9
●セキュリティリスク　：Highly Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメインテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

==解決方法==

2024/10/9 (日本時間：GMT+9)、Facetsにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Facets
●投稿日　：2024/10/9
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要== 
このモジュールを使用すると、ファセット検索のインターフェースを簡単に作成および管理することができます。

このモジュールには、反射型クロスサイトスクリプティング（XSS）の脆弱性につながる悪意あるスクリプトを十分にフィルタリングする機能がありません。
 

この脆弱性はFacets Summary サブモジュールに存在します。このサブモジュールを使用していない場合、サイトは本問題の影響を受けません。

==解決方法==

2024/10/2 (日本時間：GMT+9)、Two-factor Authentication (TFA)において脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Two-factor Authentication (TFA)
●投稿日　：2024/10/2
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
このモジュールではユーザーに対して、パスワード認証に加えて第2の認証方法を使用することを許可および/または要求することができます。 

このモジュールは現在、2つ目の認証トークンを要求する前にセッションを十分に移行していません。  
 

2024/9/4 (日本時間：GMT+9)、Paragraphs tableにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Paragraphs table
●投稿日　：2024/9/4
●セキュリティリスク　：Critical
●脆弱性　：Access bypass、Information Disclosure

==概要== 
このモジュールはフィールドコレクションをテーブルとして表示できるようにするものです。Display Suiteやフィールド権限をサポートし、修正、削除、複製などの操作を提供します。

このモジュールには、モジュールが提供するルートに対する要求が十分に制限されていないため、複数の脆弱性があります。  
 

2024/8/7 (日本時間：GMT+9)、Opigno Learning pathにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno Learning path
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/8/7 (日本時間：GMT+9)、Opigno moduleにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno module
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/8/7 (日本時間：GMT+9)、Opigno group managerにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno group manager
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/4/24 (日本時間：GMT+9)、Advanced PWAにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Advanced PWA
●投稿日　：2024/4/24
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
プログレッシブウェブアプリケーション（PWA）は、通常のウェブページやウェブサイトのように読み込まれるウェブアプリケーションですが、オフラインでの作業、プッシュ通知、デバイスのハードウェアアクセスといった、従来はネイティブアプリケーションでしか提供されなかった機能をユーザーに提供することができます。

このモジュールは、設定フォームへのアクセスを十分に保護しておらず、権限のない不正なユーザーがモジュール設定を閲覧および変更することを許可してしまいます。
 

==解決方法==