2018年2月21日(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： Drupal Core

●バージョン　： 8.4.x-dev、7.x-dev

●投稿日　：2018/2/21

●セキュリティリスク　： Critical

●脆弱性　： Multiple Vulnerabilities

==概要==

本セキュリティ勧告では、Drupal 7とDrupal 8両方で複数の脆弱性が修正されています。


▼コメント返信フォームで制限付きコンテンツへのアクセスを許可 - 重大 - Drupal 8 - CVE-2017-6926：

コメントを投稿する権限を持つユーザーは、アクセス権のないコンテンツやコメントを表示でき、このコンテンツにコメントを追加することもできます。


コメントシステムが作動され、攻撃者がコメントをポストするために許可を得なければならないことによって、この脆弱性は軽減されています。

2018/2/14(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Entity Backup

●投稿日　：2018/2/14

●セキュリティリスク　： Critical

●脆弱性　： Module Unsupported

==概要==

Entity Backupモジュールの主な目的は、削除されたDrupalコアエンティティのバックアップを保持し、それらの回復を実行することです。

2018/2/14(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Dynamic Banner

●投稿日　：2018/2/14

●セキュリティリスク　： Critical

●脆弱性　： Module Unsupported

==概要==

Dynamic Bannerモジュールは、異なるバナーを持つページで多くのブロックを作成することで、ウェブ開発者の負担を軽減します。

2018/2/14(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：VChess

●投稿日　：2018/2/14

●セキュリティリスク　： Critical

●脆弱性　： Module Unsupported

==概要==

Drupal VChessモジュールは、ユーザーがチェスゲームをすることができます。

セキュリティチームは、このモジュールに未対応のマークを付けています。 メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールを維持したい場合は、https：//www.drupal.org/node/251466をお読みください。

2018/1/31(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Sagepay

●投稿日　：2018/1/31

●セキュリティリスク　： Critical

●脆弱性　： Access Bypass

==概要==

このモジュールは、Sagepay決済サービスを統合します。

決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。

2018/1/24(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Backup and Migrate

●投稿日　：2018/1/24

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使用すると、マニュアルやサイトのバックアップスケジュールの作成やバックアップからサイトの復元が可能です。

このモジュールでは、カスタム権限が危険であることを十分に確認しないため高度な信頼されているロールを付与する必要があります。

サイトがこのモジュールを使用するには権限ページを見直し、モジュールに規定された権限を付与されている信頼されたユーザーのみであることを確認する必要があります。

●プロジェクト　： Stacks

●投稿日　：2018/1/10

●セキュリティリスク　： Critical

脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。

このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。

この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。

==解決方法==。

最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。

2017/11/29(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-087

●プロジェクト　：Services single sign-on client (拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/11/29

●セキュリティリスク　： Critical

●脆弱性　： Cross-site scripting

==概要==

このモジュールを使用すると、remort Services対応のDrupalサイトのユーザーは、資格情報を使用して2番目のサイトにログインできます。

モジュールはリクエストを表示する前に情報をサニタイズしないため、クロスサイトスクリプティングの脆弱性が発生します。

==解決方法==

最新バージョンへアップグレードすることお勧めします。

2017/11/29(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-086

●プロジェクト　：Cloud(拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/11/29

●セキュリティリスク　： Critical

●脆弱性　： クロスサイトリクエストフォージェリ（CSRF）

==概要==

このモジュールでは、Amazon EC2などのパブリッククラウドやOpenStackなどのプライベートクラウドをサイトで管理できます。

このモジュールは、監査レポートの削除を十分に保護していないため、権限のないユーザーが管理者を騙して監査レポートを削除する可能性のあるクロスサイトリクエスト脆弱性が存在します。

この脆弱性は、被害者が監査レポートのアクセス許可を持っている必要があるようにすることよって軽減されます。

2017/10/25(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：DRUPAL-SA-CONTRIB-2017-079

●プロジェクト　：Brilliant Gallery (拡張モジュール)

●バージョン　： 7.x-1.x-dev

●投稿日　：2017/10/25

●セキュリティリスク　： Highly Critical

●脆弱性　： Multipul Vulnerabilities

==概要==

Brilliant Galleryは、フォルダにある画像に基づく多数のギャラリーを表示させることができます。

本モジュールは多様なデータベースのクエリを十分にサニタイズをしておらず、攻撃者がリクエストを作成しSQLインジェクション攻撃をされる脆弱性があります。本モジュールは匿名のユーザーに実行されることができ、潜在的に支配される可能性があります。