2024/12/11 (日本時間:GMT+9)、Login Disableにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Login Disable
●投稿日 :2024/12/11
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.1.1
2024/12/4 (日本時間:GMT+9)、Download All Filesにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Download All Files
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<2.0.2
==概要==
このモジュールは、フィールドタイプ"file"のフィールドフォーマッタとして、"Table of files with download all link"を提供します。
このモジュールには、本来ダウンロードできないはずのファイルをユーザーがダウンロードできてしまう脆弱性がありました。
==解決方法==
2024/12/4 (日本時間:GMT+9)、Pages Restriction Accessにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Pages Restriction Access
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=2.0.0 <2.0.3
==概要==
匿名ユーザーおよび一般ユーザーから、設定された事前定義のページへのアクセスを制限するモジュールです。
このモジュールは特定の種類のURLを保護する処理が十分ではありません。
==解決方法==
2024/12/4 (日本時間:GMT+9)、OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)において脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :OAuth & OpenID Connect Single Sign On – SSO (OAuth/OIDC Client)
●投稿日 :2024/12/4
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
●対象バージョン :>=3.0.0 <3.44.0 || >=4.0.0 <4.0.19
2024/11/13 (日本時間:GMT+9)、POST Fileにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト : POST File
●投稿日 :2024/11/13
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting、Arbitrary PHP code execution
==概要==
このモジュールは、サイト上に/postfile/uploadというエンドポイントを作成し、指定されたファイルシステム(公開、非公開など)に単一のファイルをアップロードするためのPOSTリクエストを受け付けます。
危険なファイル形式を含むどのファイル拡張子でも受け付けているため、allow_insecure_uploads設定を回避するために悪用される可能性があります。
この脆弱性は、攻撃者がpostfile upload権限を持つ役割である必要があるという事実によって緩和されています。
2024/10/23 (日本時間:GMT+9)、Monster Menusにおいて脆弱性が発表されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Monster Menus
●投稿日 :2024/10/23
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
このモジュールは、非常に細かく分散された権限構造を持つページ内でノードをグループ化することを可能にします。
特定のケースで、PHPのunserialize()関数にデータを渡す前に十分なサニタイズ処理が行われないことがあり、それにより任意のコード実行につながる可能性があります。
==解決方法==
2024/10/9 (日本時間:GMT+9)、wkhtmltopdfにおいて脆弱性が発表されました。
●プロジェクト :wkhtmltopdf
●投稿日 :2024/10/9
●セキュリティリスク :Highly Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported
==解決方法==
2024/10/9 (日本時間:GMT+9)、Facetsにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Facets
●投稿日 :2024/10/9
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting
==概要==
このモジュールを使用すると、ファセット検索のインターフェースを簡単に作成および管理することができます。
このモジュールには、反射型クロスサイトスクリプティング(XSS)の脆弱性につながる悪意あるスクリプトを十分にフィルタリングする機能がありません。
この脆弱性はFacets Summary サブモジュールに存在します。このサブモジュールを使用していない場合、サイトは本問題の影響を受けません。
==解決方法==
2024/10/2 (日本時間:GMT+9)、Two-factor Authentication (TFA)において脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Two-factor Authentication (TFA)
●投稿日 :2024/10/2
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
このモジュールではユーザーに対して、パスワード認証に加えて第2の認証方法を使用することを許可および/または要求することができます。
このモジュールは現在、2つ目の認証トークンを要求する前にセッションを十分に移行していません。
2024/9/4 (日本時間:GMT+9)、Paragraphs tableにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Paragraphs table
●投稿日 :2024/9/4
●セキュリティリスク :Critical
●脆弱性 :Access bypass、Information Disclosure
==概要==
このモジュールはフィールドコレクションをテーブルとして表示できるようにするものです。Display Suiteやフィールド権限をサポートし、修正、削除、複製などの操作を提供します。
このモジュールには、モジュールが提供するルートに対する要求が十分に制限されていないため、複数の脆弱性があります。
