●プロジェクト：Gutenberg

●日付：2019年9月25日
●セキュリティリスク：Critical

●脆弱性：Access bypass

==概要==このモジュールは、ノード編集用の新しいUIエクスペリエンスであるGutenbergエディターを提供します。
Gutenbergエディターによって使用されるルートには、信頼できないユーザーが表示または変更できないコンテンツを表示および変更できる適切な権限がありません。

2019/8/21(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Imagecache External

●投稿日　：2019/8/21

●セキュリティリスク　： Critical15/25 AC:Complex/A:None/Cl:Some/ll:Some/E:Theoretical/TD:All

●脆弱性　：Insecure session token management

==概要==

このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の（以前に入力された）値を提案します。

2019/8/14(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Forms Steps

●投稿日　：2019/8/14

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

フォームの手順は、フォームモードを使用してフォームワークフローを作成するためのUIを提供します。迅速で構成可能なマルチステップフォームを作成します。

このモジュールは、マルチステップフォームのさまざまなステップで作成されたエンティティを表示できるワークフローエンティティにアクセスするためのユーザー権限を十分にチェックしません。

2019/7/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Existing Values Autocomplete Widget

●投稿日　：2019/7/24

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の（以前に入力された）値を提案します。

またこのモジュールは、オートコンプリート結果を返す前に適切なアクセス許可を十分に確認することができません。

この脆弱性は、攻撃者がオートコンプリートコールバックコントローラへのルートを知っているため発生します。

2019/7/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Facebook Messenger Customer Chat Plugin

●投稿日　：2019/7/24

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

Facebook Messengerカスタマーチャットプラグインモジュールを使用すると、プラグインをDrupalサイトに追加できます。

このモジュールは管理者ページのユーザー権限を必要としません。

2019/7/17(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：ImageCache Actions

●投稿日　：2019/7/17

●セキュリティリスク　： Critical

●脆弱性　： Multiple Vulnerabilities

==概要==

imagecacheアクションモジュールは、画像スタイルを作成するために使用できる画像効果を定義します。"Image styles admin"サブモジュールは、画像スタイルを複製、エクスポート、インポートするための追加機能があります。このモジュールは、unserialize（）を使用して、入力を処理するときにunserialize（）にセキュリティ上の問題があるサイトに画像スタイルをインポートします。

2019/7/17(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2019/7/17

●セキュリティリスク　： Critical
●脆弱性　： Access bypass

==概要==

Drupal 8.7.4では、Workspacesモジュールが有効になっていると、アクセスバイパス条件が作成されます。

これはワークスペースモジュールを無効にすることで軽減できます。Drupal 8.7.4以外のリリースには影響しません。

Drupal 8.7.3以前、Drupal 8.6.x以前、およびDrupal 7.xは影響を受けません。

==解決方法==。

サイトがDrupal 8.7.4を実行している場合は、Drupal 8.7.5にアップグレードしてください。

2019/7/10(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Custom Permissions

●投稿日　：2019/7/17

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

このモジュールを使用すると、管理UIを介して追加のカスタム権限を追加および管理ができます。

モジュールはこのページへの適切なアクセス許可を十分に侵入を防げていません。

この脆弱性は、攻撃者がカスタムアクセス許可管理フォームのログイン方法知っているためです。

==解決方法==。

最新版をインストールしてください。

2019/6/19(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Easy Breadcrumb

●投稿日　：2019/6/19

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Scripting

==概要==

このモジュールを使用すると、現在のURL（パスエイリアス）と現在のページのタイトルを使用して、ブレッドクラムのセグメントとそれぞれのリンクを自動的に抽出し、それらをWebサイトでブレッドクラムとして表示できます。

特定の状況では、モジュールはユーザー入力を十分にサニタイズしません。

2019/5/15(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Multiple Registration

●投稿日　：2019/5/15

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

このモジュールを使用すると、特別な役割とその役割に定義されたカスタムフィールドセットを使用したユーザー登録に特別なルートを使用できます。

ユーザーが管理者ロールでユーザーを登録しようとしたときに、モジュールはどのユーザーロールを登録できるかを十分に確認することができません。

この脆弱性は、ユーザーがブロックされた状態で起動したにもかかわらず "Administrator"ロールを取得したままアカウントの承認が必要とされるサイトで軽減されます。