SA-CONTRIB-2014-109 - Freelinking - Cross Site Scripting (XSS) 2014年11月12日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-109
●プロジェクト: Freelinkin (拡張モジュール)
●バージョン: 6.x, 7.x
●投稿日: 2014/11/12
●セキュリティリスク: Critical
●脆弱性: Cross Site Scripting
==概要==
SA-CORE-2014-005 - Drupal core - SQL injection 2014年10月15日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalがバージョン7.xを使っているユーザーは直ちに7.32へ、アップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-005
●プロジェクト: Drupal core
●バージョン: 7.x
●投稿日: 2014/10/15
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性: SQL Injection
==概要==
Drupalの7は、データベースに対して実行されたクエリは、SQLインジェクション攻撃を防ぐためにデータベース抽象化APIが含まれています。 このAPIの脆弱性により、攻撃者は任意のSQL実行結果として特別に細工されたリクエストを送信することができます。リクエストの内容によっては、この権限の昇格、任意のPHPの実行、または他の攻撃につなげることができます。 この脆弱性は匿名ユーザーによって悪用される可能性があります。
==元記事==
SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities 2014年7月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-003
●プロジェクト: Drupal core
●バージョン: 6.x,7.x
●投稿日: 2014/07/16
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Multiple vulnerabilities
==概要==
SA-CONTRIB-2014-053 - Field API Tab Editor (FATE) - Access bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-053
●プロジェクト: Field API Tab Editor (拡張モジュール)
●バージョン : 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-050-Commerce Postfinance ePayment - Access Bypass 2014年5月14日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-050
●プロジェクト: Commerce Postfinance ePayment (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/05/14
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: Access bypass
==概要==
SA-CONTRIB-2014-048 - Field API Pane Editor (FAPE) - Access bypass 2014年4月30日(日本時間:GMT+9)、拡張モジュール において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-048
●プロジェクト: Field API Pane Editor (FAPE) (拡張モジュール)
●バージョン: 7.x
●投稿日: 2014/04/30
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性 Access bypass
==概要==
SA-CORE-2014-002 - Drupal core - Information Disclosure 2014年4月16日(日本時間:GMT+9)、Drupalコア において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CORE-2014-002
●プロジェクト: Drupalコア
●バージョン: 6.x,7.x
●投稿日: 2014/04/16
●セキュリティリスク: Moderately critical
●リモート接続による悪用
●脆弱性: 情報漏洩
==概要==
SA-CONTRIB-2014-041- Block Search - SQL Injection 2014年4月16日(日本時間:GMT+9)、拡張モジュールにおいて 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: DRUPAL-SA-CONTRIB-2014-041
●プロジェクト: Block Search (拡張モジュール)
●バージョン: 6.x
●投稿日: 2014/04/16
●セキュリティリスク: Highly Critical
●リモート接続による悪用
●脆弱性: SQL Injection
==概要==
Block Searchモジュールは、ブロックを管理する別の方法を提供します。 このモジュールでは,SQL injection を許可しているデータベースに直接渡されるユーザーが提供する文字列を扱う場合,正しくDrupalのデータベースAPIを使用することができません。 この脆弱性は以下の制限から,軽減されることが確認されています。
SA-CONTRIB-2014-035-CAS Server - Access Bypass 2014年4月2日(日本時間:GMT+9)、Third-party module において 脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●勧告ID: SA-CONTRIB-2014-035
●プロジェクト: CAS(third-party module)
●バージョン: 6.x,7.x
●投稿日: 2014/04/02
●セキュリティリスク: Critical
●リモート接続による悪用
●脆弱性: アクセスバイパス
==概要==
2014年1月8日(日本時間:GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
【今回発見された脆弱性】
・重要度:Moderately critical
・対象バージョン:Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン
・脆弱性1:権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。
・脆弱性2:taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)
