セキュリティ情報

Drupal Core - Multiple Vulnerabilities - SA-CORE-2018-006 drupal-kanri 2018-11-09
コア

・Advisory ID: DRUPAL-SA-CORE-2018-006
・Project: Drupal Core
・Version: 7.x,8.x
・Date: 2018/10/17

説明

コンテンツの管理 - アクセスバイパス - Drupal 8


状況によっては、コンテンツのモデレーションがユーザーのアクセスをチェックして特定のトランジションを使用することができず、アクセスのバイパスが発生します。

この問題を修正するために、下位互換性に影響する可能性があるコンテンツモデレーションに以下の変更が加えられました。

ModerationStateConstraintValidator
2つの追加サービスがこのサービスに導入されました。このサービスをサブクラス化すると、コンストラクタがオーバーライドされている場合、これらの追加の依存関係がコンストラクタに確実に渡されるようにする必要があります。

HTML Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-069
Critical
drupal-kanri 2018-10-24
拡張モジュール

2018/10/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :HTM MailL

●投稿日 :2018/10/17

●セキュリティリスク :クリティカル17/25 AC:基本/ A:管理者/ CI:すべて/ II:すべて/ E:理論/ TD:すべて
●脆弱性 : リモートでコードが実行される

==概要==
HTMLモジュールは、自分のWebサイトを他のテーマにすることが可能です。

このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。

Mime Mail - Critical - Remote Code Execution - SA-CONTRIB-2018-068
Critical
drupal-kanri 2018-10-22
拡張モジュール

2018/10/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Mime mail

●投稿日 :2018/10/18

●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : Remote Code Execution

==概要==
MIMEメールモジュールでは、画像と添付ファイルが埋め込まれたMIMEエンコードの電子メールメッセージを送信できます。

このモジュールは、電子メールを送信するときにシェル引数がいくつか変数を十分に消去しないため、任意のリモートコードが実行される可能性があります。

Lightbox2 - Critical - Cross Site Scripting - SA-CONTRIB-2018-064
Critical
drupal-kanri 2018-10-15
拡張モジュール

2018/10/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Lightbox2

●投稿日 :2018/1010

●セキュリティリスク :クリティカル18∕25 AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:All>
●脆弱性 : クロスサイトスクリプティング

==概要==
Lightbox2モジュールを使用すると、イメージを現在のページにオーバーレイすることができます。

潜在的なクロスサイトスクリプティング(XSS)につながるカスタムビューと組み合わせて使用​​すると、モジュールは一部の入力をサニタイズしませんでした。

Printer, email and PDF versions - Highly critical - Remote Code Execution - SA-CONTRIB-2018-063
Highly Critical
drupal-kanri 2018-10-10
拡張モジュール

2018/10/3(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト : Printer, email and PDF versions

●投稿日 :2018/10/3

●セキュリティリスク :High Critical Highly critical 20∕25 AC:None/A:None/CI:All/II:All/E:Theoretical/TD:Uncommon

●脆弱性 : リモートでコードが実行される

File (Field) Paths - Critical - Remote Code Execution - SA-CONTRIB-2018-056

2018-08-27
Critical
拡張モジュール

2018/8/15(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Project:

●投稿日 :2018/8/15

●セキュリティリスク : 15∕25 AC:Basic/A:user/CI:Some/II:All/E:Theoretical/TD:Default

●脆弱性 : 任意のPHPコード実行

==概要==
このモジュールでは、クリーンなファイルシステムを維持するために、アップロードされたファイルをトークンベースの置換パターンを使って自動的にソートして名前を変更することができます。

PHP Configuration - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-055

2018-08-10
Critical
拡張モジュール

2018/8/8(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :PHP Configuration

●投稿日 :2018/8/8

●セキュリティリスク : 17∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:All

●脆弱性 : 任意のPHPコード実行

==概要==
このモジュールを使用すると、Drupal WebサイトのPHP設定で、追加または上書きが可能です。

Taxonomy Entity Queue - Critical - SQL Injection - SA-CONTRIB-2018-052

2018-07-19
Critical
拡張モジュール

2018/7/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Taxonomy Entity Queue

●投稿日 :2018/7/18

●セキュリティリスク : 17∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:All

●脆弱性 : SQLインジェクションL

==概要==
このモジュールを使用すると、タクソノミーに基づいてエンティティキューを作成できます。

Custom Tokens - Critical - Arbitrary PHP code execution - SA-CONTRIB-2018-041

2018-06-18
Critical
拡張モジュール

2018/6/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Custom Tokens

●投稿日 :2018/6/13

●セキュリティリスク : 16∕25 AC:Basic/A:Admin/CI:All/II:All/E:Theoretical/TD:Default

●脆弱性 : 任意のPHPコード実行

==概要==
カスタムトークンモジュールを使用すると、信頼できるトークンAPIを作成できます。
このモジュールでは、カスタム権限が危険であるかを特定できていないため、信頼性の高い役割にのみ付与する必要があります。

Entity Delete - Critical - Multiple Vulnerabilities - SA-CONTRIB-2018-040

2018-06-12
Critical
拡張モジュール

2018/6/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Entity Delete

●投稿日 :2018/6/12

●セキュリティリスク : 15∕25 AC:Basic/A:User/CI:Some/II:Some/E:Proof/TD:All

●脆弱性 : Unsupported