2019/12/18(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal

●投稿日　：2019/12/18

●セキュリティリスク　： Critical

●脆弱性　：Multiple vulnerabilities

==概要==

Drupalプロジェクトは、一部のDrupal構成に影響するセキュリティ更新プログラムをリリースしたサードパーティライブラリArchive_Tarを使用します。

Drupalが.tar、.tar.gz、.bz2、または.tlzファイルのアップロードと処理を許可するように構成されている場合、複数の脆弱性が発生する可能性があります。

Drupalの最新バージョンでは、Archive_Tarを1.4.9に更新して、ファイル処理の脆弱性を緩和しています。

2019/12/12(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Webform

●投稿日　：2019/12/12

●セキュリティリスク　： Critical

●脆弱性　：Multiple vulnerabilities

==概要==

このモジュールを使用すると、フォームを作成してユーザーから情報を収集し、それを電子メールで報告、分析、および共有できます。

2019/11/13(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。



●投稿日　：2019/11/13
●プロジェクト
・Feeds JSONPath Parser - Critical - Unsupported - SA-CONTRIB-2019-083
・Taxonomy CSV import/export - Critical - Unsupported - SA-CONTRIB-2019-084
・Nodequeue - Critical - Cross Site Scripting - SA-CONTRIB-2019-085
・Webform Report - Critical - Unsupported - SA-CONTRIB-2019-086
・Make Meeting Scheduler - Critical - Unsupported - SA-CONTRIB-2019-087
・SendinBlue - Critical - Unsupported - SA-CONTRIB-2019-088

2019/11/7(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Open social

●投稿日　：2019/11/7

●セキュリティリスク　： Critical

●脆弱性　：Insecure Session Management

==概要==

Open socialとはオンラインコミュニティ向けのDrupalのソフトウェアです。
追加されたソーシャルマジックログインモジュールはDrupalのパスワードを持っていない方には充分に検証しませんが、ビアエターナルシステムにログインしてみてください。
検証が不十分なため、ハッカーは有効なログインURLを偽造し、そのようなアカウントにログインすることが可能です。
この脆弱性は、ソーシャルマジックログインを有効にする必要があるという事実によって緩和されます。

●プロジェクト：Gutenberg

●日付：2019年9月25日
●セキュリティリスク：Critical

●脆弱性：Access bypass

==概要==このモジュールは、ノード編集用の新しいUIエクスペリエンスであるGutenbergエディターを提供します。
Gutenbergエディターによって使用されるルートには、信頼できないユーザーが表示または変更できないコンテンツを表示および変更できる適切な権限がありません。

2019/8/21(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Imagecache External

●投稿日　：2019/8/21

●セキュリティリスク　： Critical15/25 AC:Complex/A:None/Cl:Some/ll:Some/E:Theoretical/TD:All

●脆弱性　：Insecure session token management

==概要==

このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の（以前に入力された）値を提案します。

2019/8/14(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Forms Steps

●投稿日　：2019/8/14

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

フォームの手順は、フォームモードを使用してフォームワークフローを作成するためのUIを提供します。迅速で構成可能なマルチステップフォームを作成します。

このモジュールは、マルチステップフォームのさまざまなステップで作成されたエンティティを表示できるワークフローエンティティにアクセスするためのユーザー権限を十分にチェックしません。

2019/7/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Existing Values Autocomplete Widget

●投稿日　：2019/7/24

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の（以前に入力された）値を提案します。

またこのモジュールは、オートコンプリート結果を返す前に適切なアクセス許可を十分に確認することができません。

この脆弱性は、攻撃者がオートコンプリートコールバックコントローラへのルートを知っているため発生します。

2019/7/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Facebook Messenger Customer Chat Plugin

●投稿日　：2019/7/24

●セキュリティリスク　： Critical

●脆弱性　：Access bypass

==概要==

Facebook Messengerカスタマーチャットプラグインモジュールを使用すると、プラグインをDrupalサイトに追加できます。

このモジュールは管理者ページのユーザー権限を必要としません。

2019/7/17(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：ImageCache Actions

●投稿日　：2019/7/17

●セキュリティリスク　： Critical

●脆弱性　： Multiple Vulnerabilities

==概要==

imagecacheアクションモジュールは、画像スタイルを作成するために使用できる画像効果を定義します。"Image styles admin"サブモジュールは、画像スタイルを複製、エクスポート、インポートするための追加機能があります。このモジュールは、unserialize（）を使用して、入力を処理するときにunserialize（）にセキュリティ上の問題があるサイトに画像スタイルをインポートします。