2018/1/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Backup and Migrate

●投稿日　：2018/1/24

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使用すると、マニュアルやサイトのバックアップスケジュールの作成やバックアップからサイトの復元が可能です。

このモジュールでは、カスタム権限が危険であることを十分に確認しないため高度な信頼されているロールを付与する必要があります。

サイトがこのモジュールを使用するには権限ページを見直し、モジュールに規定された権限を付与されている信頼されたユーザーのみであることを確認する必要があります。

●プロジェクト　： Stacks

●投稿日　：2018/1/10

●セキュリティリスク　： Critical

脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。

このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。

この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。

==解決方法==。

最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。

2017/11/29(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-087

●プロジェクト　：Services single sign-on client (拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/11/29

●セキュリティリスク　： Critical

●脆弱性　： Cross-site scripting

==概要==

このモジュールを使用すると、remort Services対応のDrupalサイトのユーザーは、資格情報を使用して2番目のサイトにログインできます。

モジュールはリクエストを表示する前に情報をサニタイズしないため、クロスサイトスクリプティングの脆弱性が発生します。

==解決方法==

最新バージョンへアップグレードすることお勧めします。

2017/11/29(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-086

●プロジェクト　：Cloud(拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/11/29

●セキュリティリスク　： Critical

●脆弱性　： クロスサイトリクエストフォージェリ（CSRF）

==概要==

このモジュールでは、Amazon EC2などのパブリッククラウドやOpenStackなどのプライベートクラウドをサイトで管理できます。

このモジュールは、監査レポートの削除を十分に保護していないため、権限のないユーザーが管理者を騙して監査レポートを削除する可能性のあるクロスサイトリクエスト脆弱性が存在します。

この脆弱性は、被害者が監査レポートのアクセス許可を持っている必要があるようにすることよって軽減されます。

2017/10/25(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-079

●プロジェクト　：Brilliant Gallery (拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/10/25

●セキュリティリスク　： Highly Critical

●脆弱性　： Multipul Vulnerabilities

==概要==

Brilliant Galleryは、フォルダにある画像に基づく多数のギャラリーを表示させることができます。

本モジュールは多様なデータベースのクエリを十分にサニタイズをしておらず、攻撃者がリクエストを作成しSQLインジェクション攻撃をされる脆弱性があります。本モジュールは匿名のユーザーに実行されることができ、潜在的に支配される可能性があります。

2017/9/21(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-75

●プロジェクト　： Page Access (拡張モジュール)

●投稿日　：2017/9/20

==概要==

本モジュールはユーザーにビューアクセスとエディットアクセスをするオプションと各ノードページの役割を提供します。

脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。本モジュールを留置する場合は https://www.drupal.org/node/251466 を確認してください。

2017/9/6(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-072

●プロジェクト　： Clientside Validation (third-party module)

●バージョン　： 7.x

●投稿日　：2017/9/6

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

Clientside Validationモジュールを使ってクライアント側（Javascriot)のバリデーションを自分の形式で行うことが可能になります。

このモジュールはCAPTCHAをバリデーションする時に発生したPOSTリクエストのパラメータを十分にバリデーションしません。

2017/8/30(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-071

●プロジェクト　： H5P- Create and Share Rich Content and Applications(拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/8/30

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Scripting

==概要==

H5Pモジュールは、会話型ビデオ、問題集、ドラッグ＆ドロップ問題式、選択式問題、ボードゲーム、プレゼン、フラッシュカードなどの様々なコンテンツを生成するのに便利です。

本モジュールは送信されたテキストをページに反映する前に十分フィルターしないため、Reflected Cross Site Scripting (XSS)の脆弱性が発生しています。

2017/8/30(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-070

●プロジェクト　：Commerce Invoices (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/8/30

●セキュリティリスク　： Highly Critical

●脆弱性　： Cross Site Scripting, SQL Injection

==概要==

Commerce Invoicesは、請求書番号、会社名、金額を入力することができ、顧客がDrupal commerceでサポートされている支払い方法を利用してサイト上で支払うことができる請求書を生成します。

2017年8月16日(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-068

●プロジェクト　： Views（拡張モジュール）

●バージョン　： 7.x

●投稿日　：2017/8/16

●セキュリティリスク　： Critical

==概要==

ビューを作成する際に、Ajaxを使って必要に応じて、所定したフィルターパラメーターで表示しているデータをアップデートできます。ビューのサッブシステム/モジュールはAjaxを使用できるように設定したビューのみにAjaxエンドポイントへのアクセスを制限しませんでした。ビューにおいてアクセス制限を実施している場合、この脆弱性が軽減されます。

ビューズをディスプレイするに拡張モジュールを使用していても、全てのビューにアクセス制限を追加するのが最も良い手法です。