2021/12/8(日本時間：GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Search API Pages
●投稿日　：2021/12/8
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要==

このモジュールを使用すると、ビューを使用せずにSearchAPIに基づいて簡単な検索ページを作成できます。

モジュールは、カスタムテンプレートに提供されているすべての変数を十分にエスケープしていません。

この脆弱性は、モジュールによって提供されるデフォルトのテンプレートが影響を受けないという事実によって軽減されます。

2021/12/8(日本時間：GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Webform
●投稿日　：2021/12/8
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting, Access Bypass

==概要==

2021/9/22(日本時間：GMT+9)、The Better Mega Menuにおいて脆弱性が発見されました。
インストールしているThe Better Mega Menuのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：The Better Mega Menu
●投稿日　：2021/9/22
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Request Forgery

==概要==

このモジュールは、Drupalメニュー項目とリッチメディアコンテンツを組み合わせたドロップダウンメニューを作成するための管理インターフェイスを提供します。
モジュールは、メニュー構成を保存するためのルートを保護するためにCSRFトークンを使用しません。

この脆弱性は、匿名ユーザーによって悪用される可能性があります。

2021/9/22(日本時間：GMT+9)、Domain Groupにおいて脆弱性が発見されました。
インストールしているDomain Groupのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Domain Group
●投稿日　：2021/9/22
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==

このモジュールを使用すると、サイトはドメインアクセスからグループページを直接指すドメインを定義できます。

このモジュールは、コンテンツ管理パスへのアクセスを十分に管理していないため、攻撃者は許可されるべきコンテンツ（ノード）を確認してアクションを実行できます。

2021/9/22(日本時間：GMT+9)、Search API attachmentsにおいて脆弱性が発見されました。
インストールしているSearch API attachmentsのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Search API attachments
●投稿日　：2021/9/22
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

==概要==

2021/9/22(日本時間：GMT+9)、File Extractorにおいて脆弱性が発見されました。
インストールしているFile Extractorのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　： File Extractor
●投稿日　：2021/9/22
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

==概要==

2021/7/28(日本時間：GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Pages Restriction Access
●投稿日　：2021/7/28
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==

このプロジェクトでは、管理者があらかじめ定義されたページへの匿名および一般ユーザーからのアクセスを制限することができます。

このプロジェクトで使用されていた管理ルートには適切な権限がなく、信頼できないユーザーがモジュールの設定にアクセスしたり、作成や変更を行ったりすることができました。

2021/7/21(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2021/7/21
●セキュリティリスク　：Critical
●脆弱性　：Third-party libraries

==概要==

Drupalプロジェクトは、PEARのArchive_Tarライブラリを使用しています。このライブラリはセキュリティアップデートをリリースしており、Drupalにも影響があります。

この脆弱性は、DrupalコアによるArchive_Tarライブラリの使用がシムリンクを許可していないため脆弱ではないという事実によって軽減されます。

もしコントリビューションコードやカスタムコードが、信頼できない可能性のあるソースを起源とするtarアーカイブ（ .tar、.tar.gz、.bz2、.tlzなど）を抽出するために同ライブラリを使用している場合は、攻撃される恐れがあります。

2021/6/2(日本時間：GMT+9)、Open Socialにおいて脆弱性が発見されました。
インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Open Social
●投稿日　：2021/6/2
●セキュリティリスク　：Critical
●脆弱性　：Authentication bypass

==概要==

Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。

含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。

この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。

2021/5/12(日本時間：GMT+9)、Gutenbergにおいて脆弱性が発見されました。
インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Gutenberg
●投稿日　：2021/5/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要==

このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。

モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。