セキュリティ情報

The Better Mega Menu - Critical - Cross Site Request Forgery - SA-CONTRIB-2021-040
Critical
drupal-kanri 2021-09-27
拡張モジュール

2021/9/22(日本時間:GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :The Better Mega Menu
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery

==概要==

このモジュールは、Drupalメニュー項目とリッチメディアコンテンツを組み合わせたドロップダウンメニューを作成するための管理インターフェイスを提供します。
モジュールは、メニュー構成を保存するためのルートを保護するためにCSRFトークンを使用しません。

この脆弱性は、匿名ユーザーによって悪用される可能性があります。


Domain Group - Critical - Access bypass - SA-CONTRIB-2021-037
Critical
drupal-kanri 2021-09-27
拡張モジュール

2021/9/22(日本時間:GMT+9)、Domain Groupにおいて脆弱性が発見されました。
インストールしているDomain Groupのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Domain Group
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このモジュールを使用すると、サイトはドメインアクセスからグループページを直接指すドメインを定義できます。

このモジュールは、コンテンツ管理パスへのアクセスを十分に管理していないため、攻撃者は許可されるべきコンテンツ(ノード)を確認してアクションを実行できます。


Search API attachments - Critical - Arbitrary PHP code execution - SA-CONTRIB-2021-034
Critical
drupal-kanri 2021-09-27
拡張モジュール

2021/9/22(日本時間:GMT+9)、Search API attachmentsにおいて脆弱性が発見されました。
インストールしているSearch API attachmentsのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Search API attachments
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

File Extractor - Critical - Arbitrary PHP code execution - SA-CONTRIB-2021-033
Critical
drupal-kanri 2021-09-27
拡張モジュール

2021/9/22(日本時間:GMT+9)、File Extractorにおいて脆弱性が発見されました。
インストールしているFile Extractorのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト : File Extractor
●投稿日 :2021/9/22
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution

==概要==

Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2021-024

2021-08-02
Critical
拡張モジュール

2021/7/28(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Pages Restriction Access
●投稿日 :2021/7/28
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このプロジェクトでは、管理者があらかじめ定義されたページへの匿名および一般ユーザーからのアクセスを制限することができます。

このプロジェクトで使用されていた管理ルートには適切な権限がなく、信頼できないユーザーがモジュールの設定にアクセスしたり、作成や変更を行ったりすることができました。

Drupal core - Critical - Drupal core - Critical - Third-party libraries - SA-CORE-2021-004
Critical
drupal-kanri 2021-07-27
コア

2021/7/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/7/21
●セキュリティリスク :Critical
●脆弱性 :Third-party libraries

==概要==

Drupalプロジェクトは、PEARのArchive_Tarライブラリを使用しています。このライブラリはセキュリティアップデートをリリースしており、Drupalにも影響があります。

この脆弱性は、DrupalコアによるArchive_Tarライブラリの使用がシムリンクを許可していないため脆弱ではないという事実によって軽減されます。

もしコントリビューションコードやカスタムコードが、信頼できない可能性のあるソースを起源とするtarアーカイブ( .tar、.tar.gz、.bz2、.tlzなど)を抽出するために同ライブラリを使用している場合は、攻撃される恐れがあります。

Open Social - Critical - Authentication Bypass - SA-CONTRIB-2021-011
Critical
drupal-kanri 2021-06-03
拡張モジュール

2021/6/2(日本時間:GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Open Social
●投稿日 :2021/6/2
●セキュリティリスク :Critical
●脆弱性 :Authentication bypass

==概要==

Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。

含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。

この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。


Gutenberg - Critical - Access bypass - SA-CONTRIB-2021-007
Critical
drupal-kanri 2021-05-13
拡張モジュール

2021/5/12(日本時間:GMT+9)、Gutenbergにおいて脆弱性が発見されました。
インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Gutenberg
●投稿日 :2021/5/12
●セキュリティリスク :Critical
●脆弱性 :Access bypass

==概要==

このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。

モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。


Drupal core - Critical - Cross-site scripting - SA-CORE-2021-002

2021-04-22
Critical
コア

2021/4/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/4/21
●セキュリティリスク :Critical
●脆弱性 :Cross-site scripting

==概要==

DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。

すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。


Drupal core - Critical - Third-party libraries - SA-CORE-2021-001

2021-01-24
Critical
コア

2021/1/20(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2021/1/20
●セキュリティリスク : Critical
●脆弱性 :Third-party libraries

==概要==

Drupalプロジェクトは、Drupalに影響を与えるセキュリティアップデートをリリースしたpearArchive_Tarライブラリを使用しています。

詳細については、以下を参照してください。

CVE-2020-36193