セキュリティ情報

【セキュリティパッチ情報】LOGIN ONE TIME - CRITICAL - CROSS SITE SCRIPTING(XSS) - SA - CONTRIB - 2016 - 017

Critical
拡張モジュール

Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017

2016年3月23日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID : DRUPAL-SA-CONTRIB-2016-017

●プロジェクト : Scald File Provider (拡張モジュール)

●バージョン : 6.x  ,  7.x

●投稿日 : 2016/3/23

●セキュリティリスク : Critical

●脆弱性 : Cross site Scripting

==概要==

Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。

このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。

影響を受けるバージョンは、7.x-2.10より前のバージョン。

【セキュリティパッチ情報】Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015

Critical
拡張モジュール

Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015

2016年3月9日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID   : DRUPAL-SA-CONTRIB-2016-015

●プロジェクト: Scald File Provider (拡張モジュール)

●バージョン : 7.x

●投稿日   : 2016/3/9

●セキュリティリスク: Critical

●脆弱性   : Arbitrary PHP code execution



==概要==

PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。

【セキュリティパッチ情報】Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported

Critical
拡張モジュール

Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported

2016年3月2日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID   : DRUPAL-SA-CONTRIB-2016-013

●プロジェクト: Node Notify (拡張モジュール)

●バージョン : 7.x

●投稿日   : 2016/3/2

●セキュリティリスク: Critical

●脆弱性   : Access bypass



==概要==

Node Notifyは小規模なモジュールで、登録ユーザーおよび匿名ユーザーが、ノードのコメントを購読できるようになる機能を提供します。

このモジュールは、ユーザーが送信したコンテンツで不適切な部分を削除する機能が十分ではないので、クロスサイトスクリプティングの脆弱性が発生します。

【セキュリティパッチ情報】Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

Critical
コア

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-001

2016年2月24日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID   : SA-CORE-2016-001

●プロジェクト: Drupal core

●バージョン : 6.x, 7.x, 8.x

●投稿日   : 2016/2/24

●セキュリティリスク: Critical

●脆弱性   : Multiple vulnerabilities



==概要==

【セキュリティパッチ情報】Commerce Authorize.Net SIM/DPM Payment Methods - Access Bypass - DRUPAL-SA-CONTRIB-2016-006

Critical
拡張モジュール

Commerce Authorize.Net SIM/DPM Payment Methods - Access Bypass - DRUPAL-SA-CONTRIB-2016-006

2016年2月17日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID   : DRUPAL-SA-CONTRIB-2016-006
●プロジェクト: Commerce Authorize.Net SIM/DPM Payment Methods (拡張モジュール)
●バージョン : 7.x
●投稿日   : 2016/2/17
●セキュリティリスク: Critical
●脆弱性   : Access bypass

==概要==

このモジュールは、自分のSIM(ホストされた支払いページ)またはDPMのいずれかのメカニズムを使用してAuthorize.Net支払いゲートウェイを介して、Drupalのコマースの受注のためのクレジットカード支払いができます。 またこのモジュールは支払の成功なしに注文完了を引き起こす早まった起動を十分に防げません。

【セキュリティパッチ情報】Block Class - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-175

Critical
拡張モジュール

Block Class - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-175 2015年12月16日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-SA-CONTRIB-2015-175

●プロジェクト: Block Class (拡張モジュール)

●バージョン: 7.x

●投稿日   : 2015/12/16

●セキュリティリスク: Critical

●脆弱性: Cross Site Scripting



==概要==

【セキュリティパッチ情報】Open Atrium - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-174

Critical
拡張モジュール

Open Atrium - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-174 2015年12月16日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。



●勧告ID: DRUPAL-SA-CONTRIB-2015-174

●プロジェクト: Open Atrium(拡張モジュール)

●バージョン: 7.x ●投稿日: 2015/12/16

●セキュリティリスク: Critical

●脆弱性: Cross Site Scripting



==概要==

このモジュールは、イントラネットを作成することができます。 ユーザが指定したテキストをサニタイズせず、クロスサイトスクリプティング脆弱性(XSS)につながります。

【セキュリティパッチ情報】Select2 Field Widget - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-173

Critical
拡張モジュール

Select2 Field Widget - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2015-173 2015年12月16日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。


●勧告ID: DRUPAL-SA-CONTRIB-2015-173

●プロジェクト: Select2 Field Widget (拡張モジュール)

●バージョン : 7.x ●投稿日   : 2015/12/16

●セキュリティリスク: Critical

●脆弱性   : Cross Site Scripting



==概要==

【セキュリティパッチ情報】Values - Critical - Arbitrary PHP code execution - SA-CONTRIB-2015-172

Critical
拡張モジュール

Values - Critical - Arbitrary PHP code execution - SA-CONTRIB-2015-172 2015年12月16日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID: DRUPAL-SA-CONTRIB-2015-172
●プロジェクト: Values (拡張モジュール)
●バージョン: 7.x
●投稿日: 2015/12/16
●セキュリティリスク: Critical
●脆弱性: Arbitrary PHP code execution

==概要==

【セキュリティパッチ情報】User Dashboard - SQL Injection - Critical - SA-CONTRIB-2015-152

Critical
拡張モジュール

User Dashboard - SQL Injection - Critical - SA-CONTRIB-2015-152 2015年9月30日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。


●勧告ID: DRUPAL-SA-CONTRIB-2015-152

●プロジェクト: UserDashboard (拡張モジュール)

●バージョン : 7.x

●投稿日: 2015/9/30 ●セキュリティリスク: Critical

●脆弱性: SQL Injection



==概要==

セキュリティ情報 を購読