【セキュリティパッチ情報】RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040
2016年7月13日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID : DRUPAL-SA-CONTRIB-2016-040
●プロジェクト : RESTful Web Services (拡張モジュール)
●バージョン : 7.x
●投稿日 :2016/7/13
●セキュリティリスク : Highly Critical
●脆弱性 : Arbitrary PHP code execution
==概要==
このモジュールを使えば、DrupalのエンティティをRESTフルなWEBサービスとして提供できます。
RESTWSは、ページ内のエンティティに設定された規定のコールバックを切り替えることで、追加機能を提供します。
この手法において、攻撃者が特別に作成したリクエストを送信し、任意のPHPを実行できるという脆弱性が存在します。
