2014年1月8日(日本時間：GMT+9)、Third-party module 内の Drupal core の entity API を拡張するモジュールである The Entity API module において、3点の脆弱性が発見されました。 インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

【今回発見された脆弱性】

・重要度：Moderately critical

・対象バージョン：Entity API module for Drupal 7.x-1.x、 7.x-1.3 以前のバージョン

・脆弱性1：権限のないユーザーからのコメント等が、the entity wrapper access API によって保護されていない恐れ。

・脆弱性2：taxonomy terms (カスタム分類、タグ付け) のような、参照された (referenced) entities へのアクセスを The module's entity wrapper access API がチェックせずに実行している恐れ(アクセスバイパスの恐れ)

2014年1月9日(日本時間：GMT+9)、Media (Third-party) module において 脆弱性が発見されました。インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

【今回発見された脆弱性】

・ 重要度：Moderately critical -

・対象バージョン：Media module for Drupal 7.x

・脆弱性：Media module を導入することで、サーバー上の任意のディレクトリからファイルを管理者がインポートが可能。しかし Import media 権限をもつユーザであれば、同様にインポート出来てしまう危険性

・ 改善点：7.x-2.x バージョンにて サブモジュール Media Bulk Upload を無効する機能の追加

【最新バージョン】

Media module

【Drupal.org による発表】