2018/4/25(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Media

●バージョン　：7.x-2.18
●投稿日　：2018/4/25

●セキュリティリスク　： Critical

●脆弱性　： Remote Code Execution

==概要==

Mediaモジュールは、ファイルやマルチメディアアセットがユーザー自身のサイトでホスティングされているか、サードパーティサイトでホスティングされているかにかかわらず、それらを管理するための拡張可能なフレームワークを提供します。



このモジュールにはSA-CORE-2018-004と類似した脆弱性が含まれていたため、リモートコード実行（RCE）攻撃を招くおそれがありました。

2018年4月25日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： Drupal Core

●投稿日　：2018/4/25

●セキュリティリスク　： Highly Critical

●脆弱性　： Remote Code Execution

2018年4月23日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

==概要==

2018年4月25日UTC (協定世界時) 16:00 - 18:00にDrupal 7.x、8.4.x、8.5.x のセキュリティリリースが行われる予定です。
このPSAはDrupalコアのリリースはセキュリティリリースの正規スケジュールが組まれている時間外に行われるとお知らせするためのものです。
全てのセキュリティアップデートについて言えることですが、Drupalセキュリティチームは、上記時間帯にコアのアップデートをする場合には時間の余裕をもって行うことをお勧めします。
アップデートに数時間あるいは数日かかるおそれがあるからです。セキュリティリリースはDrupal.org のセキュリティ・アドバイザリーのページに告知されます。

2018/4/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Display Suite

●バージョン　：7.x-2.14 / 7.x-1.9
●投稿日　：2018/4/18

●セキュリティリスク　： Critical

●脆弱性　： Cross site scripting (XSS)

2018/4/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Menu Import and Export

●バージョン　：8.x-1.0
●投稿日　：2018/4/18

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

このモジュールは、管理用インターフェースを通してメニュー項目をエクスポート及びインポートするのに役立ちます。

このモジュールは管理用ページへのアクセスを厳密に制限せず、匿名ユーザーによるメニューリンクのエクスポート及びインポートが可能です。

この脆弱性に対する軽減策はありません。

2018年3月28日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： Drupal Core

●投稿日　：2018/3/28

●セキュリティリスク　： Highly Critical

●脆弱性　： Remote Code Execution

==概要==

Drupal 7.x 及び8.x. の多数のサブシステム内に遠隔コード操作される脆弱性が存在しています。これによりハッカーがDrupalのサイトに様々な攻撃を仕掛けられるようになっている可能性があります。攻撃があればサイト全体への侵入という結果につながる可能性があります。

セキュリティチームはこの件についてのFAQ を作成しました。

==解決方法==

Drupal 7、8コア最新版へのアップグレード

2018年3月21日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID　： DRUPAL-PSA-2018-001
●プロジェクト　： Drupal Core

●バージョン　： 7.x, 8.x

●投稿日　：2018/3/21

●セキュリティリスク　： Highly Critical

2018/3/21(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Exif

●投稿日　：2018/3/21

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。

このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。

この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。

2018/2/21(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：CKEditor Upload Image

●投稿日　：2018/2/21

●セキュリティリスク　： Critical

●脆弱性　： Access bypass

==概要==

このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。

2018年2月21日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： Drupal Core

●バージョン　： 8.4.x-dev、7.x-dev

●投稿日　：2018/2/21

●セキュリティリスク　： Critical

●脆弱性　： Multiple Vulnerabilities

==概要==

本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。


▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926：

コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。


コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。