2024/10/2 (日本時間：GMT+9)、Two-factor Authentication (TFA)において脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Two-factor Authentication (TFA)
●投稿日　：2024/10/2
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
このモジュールではユーザーに対して、パスワード認証に加えて第2の認証方法を使用することを許可および/または要求することができます。 

このモジュールは現在、2つ目の認証トークンを要求する前にセッションを十分に移行していません。  
 

2024/9/4 (日本時間：GMT+9)、Paragraphs tableにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Paragraphs table
●投稿日　：2024/9/4
●セキュリティリスク　：Critical
●脆弱性　：Access bypass、Information Disclosure

==概要== 
このモジュールはフィールドコレクションをテーブルとして表示できるようにするものです。Display Suiteやフィールド権限をサポートし、修正、削除、複製などの操作を提供します。

このモジュールには、モジュールが提供するルートに対する要求が十分に制限されていないため、複数の脆弱性があります。  
 

2024/8/7 (日本時間：GMT+9)、Opigno Learning pathにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno Learning path
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/8/7 (日本時間：GMT+9)、Opigno moduleにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno module
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/8/7 (日本時間：GMT+9)、Opigno group managerにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Opigno group manager
●投稿日　：2024/8/7
●セキュリティリスク　：Critical
●脆弱性　：Arbitrary PHP code execution

2024/4/24 (日本時間：GMT+9)、Advanced PWAにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Advanced PWA
●投稿日　：2024/4/24
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
プログレッシブウェブアプリケーション（PWA）は、通常のウェブページやウェブサイトのように読み込まれるウェブアプリケーションですが、オフラインでの作業、プッシュ通知、デバイスのハードウェアアクセスといった、従来はネイティブアプリケーションでしか提供されなかった機能をユーザーに提供することができます。

このモジュールは、設定フォームへのアクセスを十分に保護しておらず、権限のない不正なユーザーがモジュール設定を閲覧および変更することを許可してしまいます。
 

==解決方法==

2024/3/6 (日本時間：GMT+9)、Registration roleにおいて脆弱性が発見されました。
 
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Registration role
●投稿日　：2024/3/6 
●セキュリティリスク　：Critical
●脆弱性　：Access bypass

==概要== 
Registration roleモジュールでは、管理者が新しいユーザに自動的に割り当てる役割を選択できるようになります。選択された役割は新規登録者に割り当てられます。 

このモジュールには、コードをアップグレードしたサイトがDrupalアップデートプロセス（例：update.php）を実行していない場合の論理エラーがあります。 

この脆弱性は、コードを更新し標準的なアップデートを実行するプロセスに従ったサイトでは問題が存在しないという事実によって軽減されます。

==解決方法==

2023/9/20、Drupal coreにおいて脆弱性が発見されました。
インストールしているバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2023/9/20

●セキュリティリスク　：Critical

●脆弱性　：Cache poisoning

2023/9/13、Mail Loginにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Mail Login

●投稿日　：2023/9/13

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==
このモジュールを使うと最小限の設定でユーザがメールアドレスでログインできるようになります。


Drupalコアには、ブルートフォース攻撃に対する洪水制御メカニズムによる保護が含まれています。Mail Loginモジュールの機能はこの洪水制御を複製せず、ブルートフォース攻撃を可能にしてしまいました。

2023/8/23、Shorthandにおいて脆弱性が発見されました。
インストールしているモジュールを確認のうえ、対応をおすすめします。

●プロジェクト　：Shorthand

●投稿日　：2023/8/23

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==
このモジュールでは「美しくシンプルなストーリーテリング」アプリShorthandとの統合ができます。


このモジュールは全ストーリーのリストを表示させる際に適切に権限を確認していません。

==解決方法==

最新バージョンをインストールしてください。


Drupal 8+にてShorthandモジュール使用している場合、 Shorthand 4.0.3にアップグレードしてください。