2024/12/11 (日本時間:GMT+9)、Allow All File Extensions for file fieldsにおいて脆弱性が発表されました。
インストールしているモジュールを確認のうえ、ご対応をおすすめします。
●プロジェクト :Allow All File Extensions for file fields
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported
2024/12/11 (日本時間:GMT+9)、Git Utilities for Drupalにおいて脆弱性が発表されました。
インストールしているモジュールを確認のうえ、ご対応をおすすめします。
●プロジェクト :Git Utilities for Drupal
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported
2024/12/11 (日本時間:GMT+9)、Login Disableにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Login Disable
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.1.1
2024/12/4 (日本時間:GMT+9)、Download All Filesにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Download All Files
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.2
==概要==
このモジュールは、フィールドタイプ"file"のフィールドフォーマッタとして、"Table of files with download all link"を提供します。
このモジュールには、本来ダウンロードできないはずのファイルをユーザーがダウンロードできてしまう脆弱性がありました。
==解決方法==
2024/12/4 (日本時間:GMT+9)、Pages Restriction Accessにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Pages Restriction Access
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.0.3
==概要==
匿名ユーザーおよび一般ユーザーから、設定された事前定義のページへのアクセスを制限するモジュールです。
このモジュールは特定の種類のURLを保護する処理が十分ではありません。
==解決方法==
2024/12/4 (日本時間:GMT+9)、OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)において脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
●対象バージョン :>=3.0.0 <3.44.0 || >=4.0.0 <4.0.19
2024/11/13 (日本時間:GMT+9)、POST Fileにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : POST File
●投稿日 :2024/11/13
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting、Arbitrary PHP code execution
==概要==
このモジュールは、サイト上に/postfile/uploadというエンドポイントを作成し、指定されたファイルシステム(公開、非公開など)に単一のファイルをアップロードするためのPOSTリクエストを受け付けます。
危険なファイル形式を含むどのファイル拡張子でも受け付けているため、allow_insecure_uploads設定を回避するために悪用される可能性があります。
この脆弱性は、攻撃者がpostfile upload権限を持つ役割である必要があるという事実によって緩和されています。
2024/10/23 (日本時間:GMT+9)、Monster Menusにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Monster Menus
●投稿日 :2024/10/23
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
このモジュールは、非常に細かく分散された権限構造を持つページ内でノードをグループ化することを可能にします。
特定のケースで、PHPのunserialize()関数にデータを渡す前に十分なサニタイズ処理が行われないことがあり、それにより任意のコード実行につながる可能性があります。
==解決方法==
2024/10/9 (日本時間:GMT+9)、wkhtmltopdfにおいて脆弱性が発表されました。
●プロジェクト :wkhtmltopdf
●投稿日 :2024/10/9
●セキュリティリスク :Highly Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメインテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported
==解決方法==
2024/10/9 (日本時間:GMT+9)、Facetsにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Facets
●投稿日 :2024/10/9
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
==概要==
このモジュールを使用すると、ファセット検索のインターフェースを簡単に作成および管理することができます。
このモジュールには、反射型クロスサイトスクリプティング(XSS)の脆弱性につながる悪意あるスクリプトを十分にフィルタリングする機能がありません。
この脆弱性はFacets Summary サブモジュールに存在します。このサブモジュールを使用していない場合、サイトは本問題の影響を受けません。
==解決方法==
