2016年6月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-033

●プロジェクト　： REST/JSON (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/6/8

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure, Multiple vulnerabilities

==概要==

REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。

しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。

EPSA Crop - Image Cropping - Critical -XSS - SA-CONTRIB-2016-024 - Unsupported

2016年4月20日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-024

●プロジェクト　： EPSA Crop - Image Cropping (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/4/20

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Scripting, Cross Site Request Forgery

==概要==

EPSA Cropは、ユーザーが画像上の初期設定とは異なる座標を選択することができるモジュールです。

ユーザーが組み合わせを設定した場合、EPSA Cropのイメージキャッシュを上書きし、新たな組み合わせを設定することがでます。

Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017

2016年3月23日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：　DRUPAL-SA-CONTRIB-2016-017

●プロジェクト　：　Scald File Provider (拡張モジュール)

●バージョン　：　6.x  ,  7.x

●投稿日　：　2016/3/23

●セキュリティリスク　：　Critical

●脆弱性　：　Cross site Scripting

==概要==

Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。

このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。

影響を受けるバージョンは、7.x-2.10より前のバージョン。

Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015

2016年3月9日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-015

●プロジェクト：　Scald File Provider (拡張モジュール)

●バージョン　：　7.x

●投稿日　　　：　2016/3/9

●セキュリティリスク：　Critical

●脆弱性　　　：　Arbitrary PHP code execution

==概要==

PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。

Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported

2016年3月2日(日本時間：GMT+9)、拡張モジュール において 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CONTRIB-2016-013

●プロジェクト：　Node Notify (拡張モジュール)

●バージョン　：　7.x

●投稿日　　　：　2016/3/2

●セキュリティリスク：　Critical

●脆弱性　　　：　Access bypass

==概要==

Node Notifyは小規模なモジュールで、登録ユーザーおよび匿名ユーザーが、ノードのコメントを購読できるようになる機能を提供します。

このモジュールは、ユーザーが送信したコンテンツで不適切な部分を削除する機能が十分ではないので、クロスサイトスクリプティングの脆弱性が発生します。

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

2016年2月24日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　SA-CORE-2016-001

●プロジェクト：　Drupal core

●バージョン　：　6.x, 7.x, 8.x

●投稿日　　　：　2016/2/24

●セキュリティリスク：　Critical

●脆弱性　　　：　Multiple vulnerabilities

==概要==