2017年2月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-011

●プロジェクト　： Facebook Pull (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/2/8

●セキュリティリスク　： Critical

==概要==

このモジュールにより、Facebook API との統合性を付与することが可能になります。

このモジュールは、Facebook からのデータを充分にサニタイジング(無害化)するものではありません。

攻撃者は、悪意のあるコードを Facebook API に阻止されずに通過させる、もしくは、Facebook の DNS (ドメインネームシステム)に変更を加え、API のエンドポイントを作成し直すことができなければ、攻撃を与えることができません。この事実により、上記の脆弱性は緩和されています。

2017年1月25日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-008

●プロジェクト　： Salescloud (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/1/25

●セキュリティリスク　： Critical

==概要==

SalesCloudモジュールはDrupalを、商取引パース（PaaS）であるSalesCloudのAPIに接続します。

==影響を受けるバージョン==

全てのバージョンです。
Drupalコアには影響がありません。salescloud拡張モジュールを使用していない場合は、何もする必要はありません。

2017年1月25日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-007

●プロジェクト　： microblog (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/1/25

●セキュリティリスク　： Critical

==概要==

Microblogモジュールは、Microblogモジュールを使用しているDrupalサイト上でマイクロブログを可能にします。

==影響を受けるバージョン==

全てのバージョンです。
Drupalコアには影響がありません。Microblog拡張モジュールを使用していない場合は、何もする必要はありません。

2017年1月11日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-005

●プロジェクト　： (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2017/1/11

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

Mailjetモジュールは、拡張システムと一体化して、ニュースレターやシステムの通知などのサイトから発行されるEメールを送ります。

2017年1月4日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2017-001

●プロジェクト　： Permissions by Term (拡張モジュール)

●バージョン　： 8.x

●投稿日　：2017/1/4

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure

2016年12月26日(日本時間：GMT+9)、拡張ライブラリにおいて 脆弱性が発見されました。

インストールしているDrupalの導入ライブラリを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-PSA-2016-004

●プロジェクト　： PHPMailer (拡張ライブラリ)

●バージョン　： 7.x, 8.x

●投稿日　：2016/12/26

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

PHPMailer及びSMTPモジュールは (また恐らく他のモジュールも)、拡張PHPMailerライブラリを使ったメール送信をサポートします。

2016年12月7日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-063

●プロジェクト　： High-performance JavaScript callback handler (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/12/7

●セキュリティリスク　： Highly Critical

●脆弱性　： Cross Site Scripting, Access bypass, Cross Site Request Forgery, Open Redirect, Multiple vulnerabilities

==概要==

High-performance JavaScript callback handlerモジュールは処理が軽いコールバックで、Drupalのほとんどのブートストラップ処理をバイパスすることができ、パフォーマンスの向上に貢献します。

DRUPAL-SA-CORE-2016-004

2016年9月21日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-004

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/9/21

●セキュリティリスク：　Critical

==概要==

▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)

ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。

SA-CORE-2016-004

2016年9月21日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-004

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/9/21

●セキュリティリスク：　Critical

●脆弱性　　　：　Multiple Vulnerabilities

==概要==

【Users without "Administer comments" can set comment visibility on nodes they can edit. (Less critical)】

ノードの編集権限を持つユーザーが、ノード用のコメントに可視性をセットすることができます。

これは、管理者コメント承認を持つユーザーを制限する必要があります。

2016年8月17日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-047

●プロジェクト　： Panels (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/8/17

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure

==概要==

▼Panelsがアクセスをチェックしないルートの存在 (Critical) 

一定の権限を持つユーザーは、Panelsを利用してページやエンティティのレイアウト及びpanel panesを変更することができます。