2018/1/31(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Sagepay
●投稿日 :2018/1/31
●セキュリティリスク : Critical
●脆弱性 : Access Bypass
==概要==
このモジュールは、Sagepay決済サービスを統合します。
決済中に使用されたURLの一部には、十分に保証されていないものもあります。これにより、攻撃者が以前決済を試みて失敗したものを再度決済したり、決済が成功した後にしか見られないコンテンツを見ることができます。このモジュールを使用して可能になった、Drupalのインストールにおける全ての決済に影響を与えます。
2018/1/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Backup and Migrate
●投稿日 :2018/1/24
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使用すると、マニュアルやサイトのバックアップスケジュールの作成やバックアップからサイトの復元が可能です。
このモジュールでは、カスタム権限が危険であることを十分に確認しないため高度な信頼されているロールを付与する必要があります。
サイトがこのモジュールを使用するには権限ページを見直し、モジュールに規定された権限を付与されている信頼されたユーザーのみであることを確認する必要があります。
●プロジェクト : Stacks
●投稿日 :2018/1/10
●セキュリティリスク : Critical
脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使用すると、開発者の援助がなくても、コンテンツの編集者は再利用可能なウィジェットを使って、複雑なページとレイアウトを作ることができます。
このモジュールでは、AJAXエンドポイントに投稿された値を完全にフィルターしないため、任意のクラスをインスタンス化できます。
この脆弱性は有効なContent Feed サブモジュールは影響されており、Content Feed サブモジュールがなくてStacksだけが要因となっているサイトは脆弱性が軽減されています。
==解決方法==。
最新バージョンをインストールしてください。
Drupal 8.xのStacksモジュールを使用している場合は、 Stacks 8.x-1.1バージョンにアップグレードすることをお勧めします。
2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-087
●プロジェクト :Services single sign-on client (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : Cross-site scripting
==概要==
このモジュールを使用すると、remort Services対応のDrupalサイトのユーザーは、資格情報を使用して2番目のサイトにログインできます。
モジュールはリクエストを表示する前に情報をサニタイズしないため、クロスサイトスクリプティングの脆弱性が発生します。
==解決方法==
最新バージョンへアップグレードすることお勧めします。
2017/11/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-086
●プロジェクト :Cloud(拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/11/29
●セキュリティリスク : Critical
●脆弱性 : クロスサイトリクエストフォージェリ(CSRF)
==概要==
このモジュールでは、Amazon EC2などのパブリッククラウドやOpenStackなどのプライベートクラウドをサイトで管理できます。
このモジュールは、監査レポートの削除を十分に保護していないため、権限のないユーザーが管理者を騙して監査レポートを削除する可能性のあるクロスサイトリクエスト脆弱性が存在します。
この脆弱性は、被害者が監査レポートのアクセス許可を持っている必要があるようにすることよって軽減されます。
2017/10/25(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-079
●プロジェクト :Brilliant Gallery (拡張モジュール)
●バージョン : 7.x-1.x-dev
●投稿日 :2017/10/25
●セキュリティリスク : Highly Critical
●脆弱性 : Multipul Vulnerabilities
==概要==
Brilliant Galleryは、フォルダにある画像に基づく多数のギャラリーを表示させることができます。
本モジュールは多様なデータベースのクエリを十分にサニタイズをしておらず、攻撃者がリクエストを作成しSQLインジェクション攻撃をされる脆弱性があります。本モジュールは匿名のユーザーに実行されることができ、潜在的に支配される可能性があります。
2017/9/21(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-75
●プロジェクト : Page Access (拡張モジュール)
●投稿日 :2017/9/20
==概要==
本モジュールはユーザーにビューアクセスとエディットアクセスをするオプションと各ノードページの役割を提供します。
脆弱性が発見されましたが、Drupalセキュリティーチームはこのモジュールを認証しません。本モジュールを留置する場合は https://www.drupal.org/node/251466 を確認してください。
2017/9/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-072
●プロジェクト : Clientside Validation (third-party module)
●バージョン : 7.x
●投稿日 :2017/9/6
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
Clientside Validationモジュールを使ってクライアント側(Javascriot)のバリデーションを自分の形式で行うことが可能になります。
このモジュールはCAPTCHAをバリデーションする時に発生したPOSTリクエストのパラメータを十分にバリデーションしません。
2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-071
●プロジェクト : H5P- Create and Share Rich Content and Applications(拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting
==概要==
H5Pモジュールは、会話型ビデオ、問題集、ドラッグ&ドロップ問題式、選択式問題、ボードゲーム、プレゼン、フラッシュカードなどの様々なコンテンツを生成するのに便利です。
本モジュールは送信されたテキストをページに反映する前に十分フィルターしないため、Reflected Cross Site Scripting (XSS)の脆弱性が発生しています。
2017/8/30(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID :DRUPAL-SA-CONTRIB-2017-070
●プロジェクト :Commerce Invoices (拡張モジュール)
●バージョン : 7.x
●投稿日 :2017/8/30
●セキュリティリスク : Highly Critical
●脆弱性 : Cross Site Scripting, SQL Injection
==概要==
Commerce Invoicesは、請求書番号、会社名、金額を入力することができ、顧客がDrupal commerceでサポートされている支払い方法を利用してサイト上で支払うことができる請求書を生成します。
