SAML Service Provider - Critical - Access bypass - SA-CONTRIB-2020-006
2020/3/11(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :SAML Service Provider
●投稿日 :2020/3/11
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
このモジュールによって、外部SAML IDプロバイダーを使ったDrupalユーザーの認証を行うことが可能となります。
訪問者がユーザーアカウントの登録を行えるよう、サイトが構成されている一方で、管理者の承認を必要とする場合でも、要求元のユーザーがすでにSAMLを通じて認証を受けていれば、モジュールは管理者の承認要件を十分には実施しません。
