DRUPAL-SA-CORE-2016-003

2016年7月18日(日本時間：GMT+9)、Drupalコア において 脆弱性が発見されました。

インストールしているDrupalのバージョンを確認のうえ、必要な場合はアップグレードをおすすめします。

●勧告ID　　　：　DRUPAL-SA-CORE-2016-003

●プロジェクト　：　Drupal core

●バージョン　：　8.x

●投稿日　　　：　2016/7/18

●セキュリティリスク：　Highly Critical

●脆弱性　　　：　Injection

==概要==

Drupal 8 は、サーバーサイド HTTP リクエストの作成にサードパーティ製 PHP ライブラリーのGuzzleを採用しています。

攻撃者はGuzzle が使用するプロキシサーバーを設置することが可能です。

影響を受けるバージョンは、

Drupal core 8.1.7よりも前のDrupal 8.xバージョンです。

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-040

●プロジェクト　： RESTful Web Services (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。

RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。

この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-039

●プロジェクト　： Coder (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

2016年7月13日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-038

●プロジェクト　： Webform Multiple File Upload (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/13

●セキュリティリスク　： Critical

●脆弱性　： Arbitrary PHP code execution

==概要==

Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。

これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。

実行されるコードは、サイト上で利用可能なライブラリに依存します。

2016年7月12日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-PSA-2016-001

●プロジェクト　： Drupal contributed modules (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/7/12

●セキュリティリスク　： Highly Critical

●脆弱性　： Arbitrary PHP code execution

Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029

2016年5月18日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-029

●プロジェクト　： Views Megarow (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/5/18

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure

==概要==

Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027

2016年5月18日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-027

●プロジェクト　： Dropbox Client (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/5/18

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Scripting, Access bypass, Cross Site Request Forgery, Information Disclosure, Multiple vulnerabilities

==概要==

このモジュールによって、Drupalサイトのドロップボックス・ファイルを閲覧することが可能になります。

2016年6月8日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-033

●プロジェクト　： REST/JSON (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/6/8

●セキュリティリスク　： Critical

●脆弱性　： Access bypass, Information Disclosure, Multiple vulnerabilities

==概要==

REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。

しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。

EPSA Crop - Image Cropping - Critical -XSS - SA-CONTRIB-2016-024 - Unsupported

2016年4月20日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　： DRUPAL-SA-CONTRIB-2016-024

●プロジェクト　： EPSA Crop - Image Cropping (拡張モジュール)

●バージョン　： 7.x

●投稿日　：2016/4/20

●セキュリティリスク　： Critical

●脆弱性　： Cross Site Scripting, Cross Site Request Forgery

==概要==

EPSA Cropは、ユーザーが画像上の初期設定とは異なる座標を選択することができるモジュールです。

ユーザーが組み合わせを設定した場合、EPSA Cropのイメージキャッシュを上書きし、新たな組み合わせを設定することがでます。

Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017

2016年3月23日(日本時間：GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●勧告ID　：　DRUPAL-SA-CONTRIB-2016-017

●プロジェクト　：　Scald File Provider (拡張モジュール)

●バージョン　：　6.x  ,  7.x

●投稿日　：　2016/3/23

●セキュリティリスク　：　Critical

●脆弱性　：　Cross site Scripting

==概要==

Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。

このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。

影響を受けるバージョンは、7.x-2.10より前のバージョン。