2023/4/12、Protected Pagesにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。
●プロジェクト :Protected Pages
●投稿日 :2023/4/12
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
このモジュールを使うとパスワードを利用してページを安全にすることが可能となりますが、現在ページコンテンツへのアクセスが十分に制限されておりません。
==解決方法==
Drupal8/9/10にてProtected Pagesモジュールを使用している場合はProtected Pages 8.x-1.6へアップグレードしてください。
2023/3/15、Responsive media Image Formatterにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。
●プロジェクト :Responsive media Image Formatter
●投稿日 :2023/3/15
●セキュリティリスク :Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームはこのプロジェクトを非サポートとしました。このプロジェクトにはメインテナーによって修正されていない既知の問題があります。このプロジェクトを引き続き維持したい場合はこちらをお読みください:https://www.drupal.org/node/251466#procedure---own-project---unsupported
2023/3/1、Group control for forumsにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Group control for forums
●投稿日 :2023/3/1
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
このモジュールを利用すると、フォーラムをグループ1.xコンテンツとして関連づけ、グループアクセス制御を使用することが可能となります。
以前のバージョンでは作成する際のノードアクセスが不正に設定されており、フォーラムのトピックリストへのアクセスが正しく制御されていませんでした。
2022/9/28(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2022/9/28
●セキュリティリスク :Critical
●脆弱性 :Multiple vulnerabilities
●対象バージョン :>= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7
==概要==
2022/7/20(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2022/7/20
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
Drupal coreは、アップロード時に危険な拡張子を持つファイル名をサニタイズすると共に(参照:SA-CORE-2020-012)、ファイル名から先頭および末尾のドットを取り除いてサーバー設定ファイルがアップロードされるのを防ぎます(参照:SA-CORE-2019-010)。
2022/6/29(日本時間:GMT+9)、Config Termsモジュールにおいて脆弱性が発見されました。
インストールしているConfig Termsモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Config Terms
●投稿日 :2022/6/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass
このモジュールにより、コンテンツの代わりに構成エンティティーに基づくタクソノミーのバージョンを作成・管理することができます。
用語や語彙、それらの構造をサイト構成としてエクスポート、インポート、管理ができます。
2022/5/18(日本時間:GMT+9)、Wingsuitモジュールにおいて脆弱性が発見されました。
インストールしているWingsuitモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Wingsuit - Storybook for UI Patterns
●バージョン :8.x-2.x-dev / 8.x-1.x-dev
●投稿日 :2022/5/18
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
Wingsuitモジュールは、サイト構築者がStorybookでUIパターン(および/または)Twigコンポーネントを構築し、Drupalのマッピングコードなしでそれらを使用できるようにするためのものです。
このモジュールには管理フォームへのアクセスチェックがないため、攻撃者がWingsuitの設定を見たり変更したりすることができます。
2022/3/9(日本時間:GMT+9)、SVG Formatterモジュールにおいて脆弱性が発見されました。
インストールしているSVG Formatterモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :SVG Formatter
●投稿日 :2022/3/9
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
==概要==
SVG Formatterモジュールは、Webサイトの一部としてSVG画像を使用するためのサポートを提供します。
モジュールの依存ライブラリenshrined/svg-sanitizeには、クロスサイトスクリプティングの脆弱性があります。
攻撃にはSVG画像のアップロードを可能にする権限が付与されたロールを取得する必要があることにより、この脆弱性は緩和されます。
2022/1/25(日本時間:GMT+9)、Printer, email and PDF versions がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。
●プロジェクト :Printer, email and PDF versions
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported
2022/1/25(日本時間:GMT+9)、Image Media Export Import がUnsupportedにマークされました。
利用を確認のうえ、アンインストールをおすすめします。
●プロジェクト :Image Media Export Import
●投稿日 :2022/1/25
●セキュリティリスク :Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームは、このプロジェクトをサポート対象外としています。プロジェクトには、保守によって修正されていない既知のセキュリティ問題があります。このプロジェクトを維持したい場合は、以下をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported
