2025/5/7 (日本時間：GMT+9)、Enterprise MFA - TFA for Drupalにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Enterprise MFA - TFA for Drupal
●投稿日　：2025/5/7
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Request Forgery
●対象バージョン　：<4.7.0 || >=5.0.0 <5.2.0
 

==概要== 
このモジュールは、デフォルトのDrupalログインに加えて二要素認証を有効可能にします。 

このモジュールは、特定のルートについてクロスサイトリクエストフォージェリ（CSRF）攻撃から十分に保護していません。
 

2025/5/7 (日本時間：GMT+9)、Restrict route by IPにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Restrict route by IP
●投稿日　：2025/5/7
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Request Forgery
●対象バージョン　：<1.3.0
 

==概要== 
Restrict route by IPモジュールは、IPアドレスに基づくルート制限を管理するためのインターフェースを提供します。

このモジュールは、特定のルートについてCSRF攻撃からの保護が不十分です。

この脆弱性は、攻撃者がルートのマシン名を知っている必要があるという事実によって緩和されています。
 

2025/4/24 (日本時間：GMT+9)、Sportsleagueにおいて脆弱性が発表されました。


●プロジェクト　：Sportsleague
●投稿日　：2025/4/24
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/24 (日本時間：GMT+9)、UEditor - 百度编辑器において脆弱性が発表されました。


●プロジェクト　：UEditor - 百度编辑器
●投稿日　：2025/4/24
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/16 (日本時間：GMT+9)、Drupal 8 Google Optimize Hide Pageにおいて脆弱性が発表されました。


●プロジェクト　：Drupal 8 Google Optimize Hide Page
●投稿日　：2025/4/16
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

2025/4/16 (日本時間：GMT+9)、Google Optimizeにおいて脆弱性が発表されました。


●プロジェクト　：Google Optimize
●投稿日　：2025/4/16
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/16 (日本時間：GMT+9)、Google Maps: Store Locatorにおいて脆弱性が発表されました。


●プロジェクト　：Google Maps: Store Locator
●投稿日　：2025/4/16
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/16 (日本時間：GMT+9)、Simple GTMにおいて脆弱性が発表されました。


●プロジェクト　：Simple GTM
●投稿日　：2025/4/16
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/16 (日本時間：GMT+9)、Panelizer (obsolete)において脆弱性が発表されました。


●プロジェクト　：Panelizer (obsolete)
●投稿日　：2025/4/16
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/4/9 (日本時間：GMT+9)、Panelsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Panels
●投稿日　：2025/4/9
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<4.9.0

==概要== 
Panelsでは管理者は、ページマネージャーやPanelizerなどを使ってページのバリアントを追加し、カスタムページを作成することができます。

このモジュールは機密性の高いルートを十分に保護していないため、攻撃者は適切な権限を必要とせずに、バリアント内のブロックを閲覧したり変更したりすることができます。

この脆弱性は、攻撃者がバリアントと基本ページのマシン名を知っている必要があるという事実によって緩和されます。それらの情報はページのソースコード内には存在していません。さらに、複雑なブロックは権限不足によるエラーを発生させるため、追加または編集できるのは単純なブロックのみです。