2018/4/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Menu Import and Export
●バージョン :8.x-1.0
●投稿日 :2018/4/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。
このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。
この脆弱性に対する軽減策はありません。
2018年3月28日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●投稿日 :2018/3/28
●セキュリティリスク : Highly Critical
●脆弱性 : Remote Code Execution
==概要==
Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。
セキュリティチームはこの件についてのFAQ を作成しました。
==解決方法==
Drupal 7、8コア最新版へのアップグレード
2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical
2018/3/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Exif
●投稿日 :2018/3/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。
このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。
この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。
2018/2/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :CKEditor Upload Image
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。
2018年2月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●バージョン : 8.4.x-dev、7.x-dev
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities
==概要==
本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。
▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926:
コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。
コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Entity Backup
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Dynamic Banner
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Dynamic Bannerモジュールは、異なるバナーを持つページで多くのブロックを作成することで、ウェブ開発者の負担を軽減します。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :VChess
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Drupal VChessモジュールは、ユーザーがチェスゲームをすることができます。
セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。
2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass
==概要==
このモジュールは、Sagepay決済サービスを統合します。
決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。
