2020/4/8(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Spamicide
●投稿日 :2020/4/8
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
Spamicide モジュールは、通常のユーザーには見えない、スパムボット用のフォームフィールドで Drupalのフォームを保護します。
モジュールは、アクセスバイパスにつながる管理ページに、適切な権限を必要としません。
2020/3/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Svg Image
●投稿日 :2020/3/25
●セキュリティリスク : Critical
●脆弱性 :Cross site scripting
==概要==
Svg Imageモジュールにより、SVGファイルをアップロードできます。
モジュールは、クロスサイトスクリプティングの脆弱性につながるSVGファイル内の悪意のあるコードから十分に保護しませんでした。
この脆弱性は、攻撃者がSVGファイルをアップロードする権限を持っている必要があるという事実によって緩和されます。
2020/3/11(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :SAML Service Provider
●投稿日 :2020/3/11
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
このモジュールによって、外部SAML IDプロバイダーを使ったDrupalユーザーの認証を行うことが可能となります。
訪問者がユーザーアカウントの登録を行えるよう、サイトが構成されている一方で、管理者の承認を必要とする場合でも、要求元のユーザーがすでにSAMLを通じて認証を受けていれば、モジュールは管理者の承認要件を十分には実施しません。
2020/3/4(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :SVG Formatter
●投稿日 :2020/3/4
●セキュリティリスク : Critical
●脆弱性 :Cross site scripting
==概要==
SVG Formatterモジュールは、WebサイトでSVG画像を使用するためのサポートを提供します。
このセキュリティリリースは、SVG Formatterに含まれているか、SVG Formatterに必要なサードパーティの依存関係を修正します。
XSS bypass using entities and tab
2019/12/18(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal
●投稿日 :2019/12/18
●セキュリティリスク : Critical
●脆弱性 :Multiple vulnerabilities
==概要==
Drupalプロジェクトは、一部のDrupal構成に影響するセキュリティ更新プログラムをリリースしたサードパーティライブラリArchive_Tarを使用します。
Drupalが.tar、.tar.gz、.bz2、または.tlzファイルのアップロードと処理を許可するように構成されている場合、複数の脆弱性が発生する可能性があります。
Drupalの最新バージョンでは、Archive_Tarを1.4.9に更新して、ファイル処理の脆弱性を緩和しています。
2019/12/12(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Webform
●投稿日 :2019/12/12
●セキュリティリスク : Critical
●脆弱性 :Multiple vulnerabilities
==概要==
このモジュールを使用すると、フォームを作成してユーザーから情報を収集し、それを電子メールで報告、分析、および共有できます。
2019/11/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●投稿日 :2019/11/13
●プロジェクト
・Feeds JSONPath Parser - Critical - Unsupported - SA-CONTRIB-2019-083
・Taxonomy CSV import/export - Critical - Unsupported - SA-CONTRIB-2019-084
・Nodequeue - Critical - Cross Site Scripting - SA-CONTRIB-2019-085
・Webform Report - Critical - Unsupported - SA-CONTRIB-2019-086
・Make Meeting Scheduler - Critical - Unsupported - SA-CONTRIB-2019-087
・SendinBlue - Critical - Unsupported - SA-CONTRIB-2019-088
2019/11/7(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Open social
●投稿日 :2019/11/7
●セキュリティリスク : Critical
●脆弱性 :Insecure Session Management
==概要==
Open socialとはオンラインコミュニティ向けのDrupalのソフトウェアです。
追加されたソーシャルマジックログインモジュールはDrupalのパスワードを持っていない方には充分に検証しませんが、ビアエターナルシステムにログインしてみてください。
検証が不十分なため、ハッカーは有効なログインURLを偽造し、そのようなアカウントにログインすることが可能です。
この脆弱性は、ソーシャルマジックログインを有効にする必要があるという事実によって緩和されます。
2019/8/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Imagecache External
●投稿日 :2019/8/21
●セキュリティリスク : Critical15/25 AC:Complex/A:None/Cl:Some/ll:Some/E:Theoretical/TD:All
●脆弱性 :Insecure session token management
==概要==
このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の(以前に入力された)値を提案します。
