2018年3月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●勧告ID : DRUPAL-PSA-2018-001
●プロジェクト : Drupal Core
●バージョン : 7.x, 8.x
●投稿日 :2018/3/21
●セキュリティリスク : Highly Critical
2018/3/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Exif
●投稿日 :2018/3/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールによって画像メタデータを取得し、それを入力欄または件名に使用することができるようになります。
このモジュールはモジュール設定ページへのアクセスの制限が不十分で、それによってアクセスバイパスの脆弱性が生じています。
この脆弱性は、攻撃者が特定のコンテンツエンティティ型のエンティティを作成する許可を有していなければならないという点によって軽減されています。
2018/2/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :CKEditor Upload Image
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Access bypass
==概要==
このモジュールを使用すると、イメージをCKEditorにドラッグアンドドロップまたはペーストできます。
このモジュールは、ユーザーのアクセス許可を十分に検証していないため、匿名ユーザーがファイルをサーバーにアップロードできなくなります。
2018年2月21日(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : Drupal Core
●バージョン : 8.4.x-dev、7.x-dev
●投稿日 :2018/2/21
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities
==概要==
本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。
▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926:
コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。
コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Entity Backup
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Dynamic Banner
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Dynamic Bannerモジュールは、異なるバナーを持つページで多くのブロックを作成することで、ウェブ開発者の負担を軽減します。
2018/2/14(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :VChess
●投稿日 :2018/2/14
●セキュリティリスク : Critical
●脆弱性 : Module Unsupported
==概要==
Drupal VChessモジュールは、ユーザーがチェスゲームをすることができます。
セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https://www.drupal.org/node/251466をお読みください。
2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass
==概要==
このモジュールは、Sagepay決済サービスを統合します。
決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。
2018/1/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Backup and Migrate
●投稿日 :2018/1/24
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使用すると、マニュアルやサイトのバックアップスケジュールの作成やバックアップからサイトの復元が可能です。
このモジュールでは、カスタム権限が危険であることを十分に確認しないため高度な信頼されているロールを付与する必要があります。
サイトがこのモジュールを使用するには権限ページを見直し、モジュールに規定された権限を付与されている信頼されたユーザーのみであることを確認する必要があります。
●プロジェクト : Stacks
●投稿日 :2018/1/10
●セキュリティリスク : Critical
脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。
このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。
この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。
==解決方法==。
最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。
