2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-039
●プロジェクト : Coder (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-038
●プロジェクト : Webform Multiple File Upload (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
Webform Multiple File Uploadモジュールには、遠隔地からのコード実行 (RCE) に関する脆弱性が存在します。
これは、フォームインプットのシリアライズが解除され、特別に作成されたフォームインプットによって任意のコードが実行されるというものです。
実行されるコードは、サイト上で利用可能なライブラリに依存します。
2016年7月12日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-PSA-2016-001
●プロジェクト : Drupal contributed modules (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/12
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
Views Megarow - Critical - Access Bypass - SA-CONTRIB-2016-029
2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-029
●プロジェクト : Views Megarow (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure
==概要==
Dropbox client - Multiple Vulnerabilities - SA-CONTRIB-2016-027
2016年5月18日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-027
●プロジェクト : Dropbox Client (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/5/18
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Access bypass, Cross Site Request Forgery, Information Disclosure, Multiple vulnerabilities
==概要==
このモジュールによって、Drupalサイトのドロップボックス・ファイルを閲覧することが可能になります。
2016年6月8日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-033
●プロジェクト : REST/JSON (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/6/8
●セキュリティリスク : Critical
●脆弱性 : Access bypass, Information Disclosure, Multiple vulnerabilities
==概要==
REST/JSONを利用することで、JSON APIを通じて内容や、ユーザやコメントを晒す機能の提供が可能になります。
しかし、REST/JSONは以下の様な多くの脆弱性を含んでいます。
EPSA Crop - Image Cropping - Critical -XSS - SA-CONTRIB-2016-024 - Unsupported
2016年4月20日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-024
●プロジェクト : EPSA Crop - Image Cropping (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/4/20
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting, Cross Site Request Forgery
==概要==
EPSA Cropは、ユーザーが画像上の初期設定とは異なる座標を選択することができるモジュールです。
ユーザーが組み合わせを設定した場合、EPSA Cropのイメージキャッシュを上書きし、新たな組み合わせを設定することがでます。
Login one time - Critical - Cross Site Scripting (XSS) - SA-CONTRIB-2016-017
2016年3月23日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-017
●プロジェクト : Scald File Provider (拡張モジュール)
●バージョン : 6.x , 7.x
●投稿日 : 2016/3/23
●セキュリティリスク : Critical
●脆弱性 : Cross site Scripting
==概要==
Login one timeモジュールによって、ユーザーにログインリンクを電子メールで送信することができます。
このモジュールはAjax callback関数へユーザーが入力した不適切箇所のすべてを取り除くことができません。
影響を受けるバージョンは、7.x-2.10より前のバージョン。
Scald File - Critical - Remote Code Execution - SA-CONTRIB-2016-015
2016年3月9日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-015
●プロジェクト: Scald File Provider (拡張モジュール)
●バージョン : 7.x
●投稿日 : 2016/3/9
●セキュリティリスク: Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
PDFがScald Fileにアップロードされた際に、様々なツールがサーバーにインストールされていれば、それらを実行して、そのPDFからサムネイルの生成を試みることができます。
Node Notify - Critical - Multiple Vulnerabilities - SA-CONTRIB-2016-013 - Unsupported
2016年3月2日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-013
●プロジェクト: Node Notify (拡張モジュール)
●バージョン : 7.x
●投稿日 : 2016/3/2
●セキュリティリスク: Critical
●脆弱性 : Access bypass
==概要==
Node Notifyは小規模なモジュールで、登録ユーザーおよび匿名ユーザーが、ノードのコメントを購読できるようになる機能を提供します。
このモジュールは、ユーザーが送信したコンテンツで不適切な部分を削除する機能が十分ではないので、クロスサイトスクリプティングの脆弱性が発生します。
