セキュリティ情報

AI (Artificial Intelligence) - Critical - Cross Site Request Forgery - SA-CONTRIB-2025-003

Critical
拡張モジュール

2025/1/15 (日本時間:GMT+9)、AI (Artificial Intelligence)において脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :AI (Artificial Intelligence)
●投稿日 :2025/1/15
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery
●対象バージョン :>1.0.0 <1.0.2

Profile Private - Critical - Unsupported - SA-CONTRIB-2025-002

Critical
拡張モジュール

2025/1/8 (日本時間:GMT+9)、Profile Privateにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Profile Private
●投稿日 :2025/1/8
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Allow All File Extensions for file fields - Critical - Unsupported - SA-CONTRIB-2024-075

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Allow All File Extensions for file fieldsにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、ご対応をおすすめします。

●プロジェクト :Allow All File Extensions for file fields
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Git Utilities for Drupal - Critical - Unsupported - SA-CONTRIB-2024-074

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Git Utilities for Drupalにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、ご対応をおすすめします。

●プロジェクト :Git Utilities for Drupal
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Login Disable - Critical - Access bypass - SA-CONTRIB-2024-073

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Login Disableにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Login Disable
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.1.1

Download All Files - Critical - Access bypass - SA-CONTRIB-2024-069

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、Download All Filesにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Download All Files
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.2

==概要== 
このモジュールは、フィールドタイプ"file"のフィールドフォーマッタとして、"Table of files with download all link"を提供します。

このモジュールには、本来ダウンロードできないはずのファイルをユーザーがダウンロードできてしまう脆弱性がありました。
 

==解決方法==

Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2024-068

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、Pages Restriction Accessにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Pages Restriction Access
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.0.3

==概要== 
匿名ユーザーおよび一般ユーザーから、設定された事前定義のページへのアクセスを制限するモジュールです。

このモジュールは特定の種類のURLを保護する処理が十分ではありません。
 

==解決方法==

OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client) - Critical - Cross Site Scripting - SA-CONTRIB-2024-067

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)において脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
●対象バージョン :>=3.0.0 <3.44.0 || >=4.0.0 <4.0.19

POST File - Critical - Cross Site Scripting, Arbitrary PHP code execution - SA-CONTRIB-2024-060

Critical
拡張モジュール

2024/11/13 (日本時間:GMT+9)、POST Fileにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : POST File
●投稿日 :2024/11/13
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting、Arbitrary PHP code execution

==概要== 
このモジュールは、サイト上に/postfile/uploadというエンドポイントを作成し、指定されたファイルシステム(公開、非公開など)に単一のファイルをアップロードするためのPOSTリクエストを受け付けます。

危険なファイル形式を含むどのファイル拡張子でも受け付けているため、allow_insecure_uploads設定を回避するために悪用される可能性があります。

この脆弱性は、攻撃者がpostfile upload権限を持つ役割である必要があるという事実によって緩和されています。 
 

Monster Menus - Critical - Arbitrary PHP code execution - SA-CONTRIB-2024-052

Critical
拡張モジュール

2024/10/23 (日本時間:GMT+9)、Monster Menusにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Monster Menus
●投稿日 :2024/10/23
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

==概要== 
このモジュールは、非常に細かく分散された権限構造を持つページ内でノードをグループ化することを可能にします。

特定のケースで、PHPのunserialize()関数にデータを渡す前に十分なサニタイズ処理が行われないことがあり、それにより任意のコード実行につながる可能性があります。

==解決方法==