DRUPAL-SA-CORE-2016-004

2016年9月21日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-004

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/9/21

●セキュリティリスク：　Critical

==概要==

▼「コメントの管理」権限を持たないユーザーでも、そのユーザーが編集可能なノードにおいては、コメントの表示・非表示を設定可能 (危険度小)

ノードを編集可能なユーザーは、そのノードにおけるコメントの表示・非表示を設定できます。この機能は、「コメントの管理」権限を持つユーザーに限定されるべきです。

SA-CORE-2016-004

2016年9月21日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-004

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/9/21

●セキュリティリスク：　Critical

●脆弱性　　　：　Multiple Vulnerabilities

==概要==

【Users without "Administer comments" can set comment visibility on nodes they can edit. (Less critical)】

ノードの編集権限を持つユーザーが、ノード用のコメントに可視性をセットすることができます。

これは、管理者コメント承認を持つユーザーを制限する必要があります。

2016年8月17日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-047

●プロジェクト　： Panels (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/8/17

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure

==概要==

▼Panelsがアクセスをチェックしないルートの存在 (Critical) 

一定の権限を持つユーザーは、Panelsを利用してページやエンティティのレイアウト及びpanel panesを変更することができます。

2016年8月3日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-041

●プロジェクト　： Administration Views (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/8/3

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary Access bypass

==概要==

Administration Views moduleは、ユーザビリティ改善ため、リスティングページのオーバービューを実際のビューと代替します。

場合によって、モジュールが適正にアクセスをチェックしないことがあります。匿名ユーザが、本来アクセスできるべきでない情報を読むことができてしまう場合があります。

DRUPAL-SA-CORE-2016-003

2016年7月18日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-003

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/7/18

●セキュリティリスク：　Highly Critical

●脆弱性　　　：　Injection

==概要==

Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。

攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。

影響を受けるバージョンは、

Drupal core 8.1.7よりも前のDrupal 8.xバージョンです。

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-040

●プロジェクト　： RESTful Web Services (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。

RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。

この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-039

●プロジェクト　： Coder (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-038

●プロジェクト　： Webform Multiple File Upload (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。

これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。

実行されるコードは、サイト上で利用可能なライブラリに依存します。

2016年7月12日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-PSA-2016-001

●プロジェクト　： Drupal contributed modules (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/12

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

2016年5月18日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-029

●プロジェクト　： Views Megarow (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/5/18

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure

==概要==