セキュリティ情報

Material Admin - Critical - Unsupported - SA-CONTRIB-2025-006

Critical
拡張モジュール

2025/1/22 (日本時間:GMT+9)、Material Adminにおいて脆弱性が発表されました。


●プロジェクト : Material Admin
●投稿日 :2025/1/22
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Flattern – Multipurpose Bootstrap Business Profile - Critical - Unsupported - SA-CONTRIB-2025-005

Critical
拡張モジュール

2025/1/22 (日本時間:GMT+9)、Flattern – Multipurpose Bootstrap Business Profileにおいて脆弱性が発表されました。


●プロジェクト :Flattern – Multipurpose Bootstrap Business Profile
●投稿日 :2025/1/22
●セキュリティリスク :Critical
●脆弱性 :Unsupported

AI (Artificial Intelligence) - Critical - Cross Site Request Forgery - SA-CONTRIB-2025-003

Critical
拡張モジュール

2025/1/15 (日本時間:GMT+9)、AI (Artificial Intelligence)において脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :AI (Artificial Intelligence)
●投稿日 :2025/1/15
●セキュリティリスク :Critical
●脆弱性 :Cross Site Request Forgery
●対象バージョン :>1.0.0 <1.0.2

Profile Private - Critical - Unsupported - SA-CONTRIB-2025-002

Critical
拡張モジュール

2025/1/8 (日本時間:GMT+9)、Profile Privateにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト :Profile Private
●投稿日 :2025/1/8
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Allow All File Extensions for file fields - Critical - Unsupported - SA-CONTRIB-2024-075

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Allow All File Extensions for file fieldsにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、ご対応をおすすめします。

●プロジェクト :Allow All File Extensions for file fields
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Git Utilities for Drupal - Critical - Unsupported - SA-CONTRIB-2024-074

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Git Utilities for Drupalにおいて脆弱性が発表されました。

インストールしているモジュールを確認のうえ、ご対応をおすすめします。

●プロジェクト :Git Utilities for Drupal
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Login Disable - Critical - Access bypass - SA-CONTRIB-2024-073

Critical
拡張モジュール

2024/12/11 (日本時間:GMT+9)、Login Disableにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Login Disable
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.1.1

Download All Files - Critical - Access bypass - SA-CONTRIB-2024-069

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、Download All Filesにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Download All Files
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.2

==概要== 
このモジュールは、フィールドタイプ"file"のフィールドフォーマッタとして、"Table of files with download all link"を提供します。

このモジュールには、本来ダウンロードできないはずのファイルをユーザーがダウンロードできてしまう脆弱性がありました。
 

==解決方法==

Pages Restriction Access - Critical - Access bypass - SA-CONTRIB-2024-068

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、Pages Restriction Accessにおいて脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Pages Restriction Access
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.0.3

==概要== 
匿名ユーザーおよび一般ユーザーから、設定された事前定義のページへのアクセスを制限するモジュールです。

このモジュールは特定の種類のURLを保護する処理が十分ではありません。
 

==解決方法==

OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client) - Critical - Cross Site Scripting - SA-CONTRIB-2024-067

Critical
拡張モジュール

2024/12/4 (日本時間:GMT+9)、OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)において脆弱性が発表されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
●対象バージョン :>=3.0.0 <3.44.0 || >=4.0.0 <4.0.19

セキュリティ情報 を購読