2023/6/28、Mailchimpにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Mailchimp

●投稿日　：2023/6/28

●セキュリティリスク　：Critical

●脆弱性　：Cross Site Request Forgery

==概要==
このモジュールではメール配信サービスであるMailchimpとの統合が可能になります。
OAuth認証に結びついているルートはクロスサイトリクエストフォージェリ攻撃に対して保護されていません。

==解決方法==

最新バージョンをインストールしてください。
Drupal 8.xにてmailchimpモジュールを使用している場合はmailchimp 2.2.2へアップグレードしてください。

2023/6/21、Album Photosにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Album Photos

●投稿日　：2023/6/21

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==
このモジュールを使うとWebサイト上で写真やアルバムを作成・管理することができます。

このモジュールではユーザーが「すべての写真を編集可能」あるいは「すべての写真を削除可能」の権限が付与されている場合にノードアクセスが十分に確認されません。

この脆弱性は、攻撃者は「すべての写真を編集可能」または「すべての写真を削除可能」の権限を持つ必要があるという点から軽減されています。

==解決方法==

最新バージョンをインストールしてください。

2023/4/12、Protected Pagesにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Protected Pages

●投稿日　：2023/4/12

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==
このモジュールを使うとパスワードを利用してページを安全にすることが可能となりますが、現在ページコンテンツへのアクセスが十分に制限されておりません。

==解決方法==

Drupal8/9/10にてProtected Pagesモジュールを使用している場合はProtected Pages 8.x-1.6へアップグレードしてください。

2023/3/15、Responsive media Image Formatterにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Responsive media Image Formatter

●投稿日　：2023/3/15

●セキュリティリスク　：Critical

●脆弱性　：Unsupported

==概要==
セキュリティチームはこのプロジェクトを非サポートとしました。このプロジェクトにはメインテナーによって修正されていない既知の問題があります。このプロジェクトを引き続き維持したい場合はこちらをお読みください：https://www.drupal.org/node/251466#procedure---own-project---unsupported

2023/3/1、Group control for forumsにおいて脆弱性が発見されました。

インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Group control for forums

●投稿日　：2023/3/1

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==

このモジュールを利用すると、フォーラムをグループ1.xコンテンツとして関連づけ、グループアクセス制御を使用することが可能となります。
以前のバージョンでは作成する際のノードアクセスが不正に設定されており、フォーラムのトピックリストへのアクセスが正しく制御されていませんでした。

2022/9/28(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2022/9/28

●セキュリティリスク　：Critical

●脆弱性　：Multiple vulnerabilities

●対象バージョン　：>= 8.0.0 <9.3.22 || >= 9.4.0 <9.4.7

==概要==

2022/7/20(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2022/7/20

●セキュリティリスク　：Critical

●脆弱性　：Arbitrary PHP code execution

==概要==

Drupal coreは、アップロード時に危険な拡張子を持つファイル名をサニタイズすると共に（参照：SA-CORE-2020-012）、ファイル名から先頭および末尾のドットを取り除いてサーバー設定ファイルがアップロードされるのを防ぎます（参照：SA-CORE-2019-010）。

2022/6/29(日本時間：GMT+9)、Config Termsモジュールにおいて脆弱性が発見されました。
インストールしているConfig Termsモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Config Terms

●投稿日　：2022/6/29

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

概要

このモジュールにより、コンテンツの代わりに構成エンティティーに基づくタクソノミーのバージョンを作成・管理することができます。

用語や語彙、それらの構造をサイト構成としてエクスポート、インポート、管理ができます。

2022/5/18(日本時間：GMT+9)、Wingsuitモジュールにおいて脆弱性が発見されました。
インストールしているWingsuitモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Wingsuit - Storybook for UI Patterns

●バージョン　：8.x-2.x-dev / 8.x-1.x-dev
●投稿日　：2022/5/18

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==

Wingsuitモジュールは、サイト構築者がStorybookでUIパターン（および/または）Twigコンポーネントを構築し、Drupalのマッピングコードなしでそれらを使用できるようにするためのものです。


このモジュールには管理フォームへのアクセスチェックがないため、攻撃者がWingsuitの設定を見たり変更したりすることができます。

2022/3/9(日本時間：GMT+9)、SVG Formatterモジュールにおいて脆弱性が発見されました。
インストールしているSVG Formatterモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：SVG Formatter

●投稿日　：2022/3/9

●セキュリティリスク　：Critical

●脆弱性　：Cross Site Scripting

==概要==

SVG Formatterモジュールは、Webサイトの一部としてSVG画像を使用するためのサポートを提供します。

モジュールの依存ライブラリenshrined/svg-sanitizeには、クロスサイトスクリプティングの脆弱性があります。

攻撃にはSVG画像のアップロードを可能にする権限が付与されたロールを取得する必要があることにより、この脆弱性は緩和されます。