2021/7/21(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2021/7/21

●セキュリティリスク　：Critical

●脆弱性　：Third-party libraries

==概要==

Drupalプロジェクトは、PEARのArchive_Tarライブラリを使用しています。このライブラリはセキュリティアップデートをリリースしており、Drupalにも影響があります。

この脆弱性は、DrupalコアによるArchive_Tarライブラリの使用がシムリンクを許可していないため脆弱ではないという事実によって軽減されます。

2021/6/2(日本時間：GMT+9)、Open Socialにおいて脆弱性が発見されました。

インストールしているOpen Socialバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Open Social

●投稿日　：2021/6/2

●セキュリティリスク　：Critical

●脆弱性　：Authentication bypass

==概要==

Open Social は、オンライン コミュニティ向けの Drupal ディストリビューションです。

含まれている social_magic_login モジュールは、ユーザー アカウントのマジック ログイン URL を十分に検証しません。検証がないため、攻撃者は有効なログイン URL を偽造し、そのようなアカウントにログインすることができます。

この脆弱性は、social_magic_login モジュールを有効にする必要があるという事実によって軽減されます。

2021/5/12(日本時間：GMT+9)、Gutenbergにおいて脆弱性が発見されました。

インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Gutenberg

●投稿日　：2021/5/12

●セキュリティリスク　：Critical

●脆弱性　：Access bypass

==概要==

このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。

モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。

2021/4/21(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2021/4/21

●セキュリティリスク　：Critical

●脆弱性　：Cross-site scripting

==概要==

DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。

すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。

2021/1/20(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2021/1/20

●セキュリティリスク　： Critical

●脆弱性　：Third-party libraries

2020/11/25(日本時間：GMT+9)、Drupalコアにおいて脆弱性が発見されました。

インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト　：Drupal core

●投稿日　：2020/11/25

●セキュリティリスク　：Critical

●脆弱性　：Arbitrary PHP code execution

●CVE IDs　：CVE-2020-28949

　　　　　　 CVE-2020-28948

==概要==

Drupalプロジェクトは、PEARArchive_Tarライブラリを使用しています。 PEAR Archive_Tarライブラリが、Drupalに影響を与えるセキュリティアップデートをリリースしました。詳細については、以下を参照してください。

2020/11/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider
●投稿日　：2020/11/18
●セキュリティリスク　： Critical
●脆弱性　：Access bypass

==概要==
このモジュールを使用すると、SAML2.0準拠のIDプロバイダーに常駐しているユーザーが、DrupalWebサイトにログインできます。

モジュールには2つの認証バイパスの脆弱性があります。

2020/11/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Ink Filepicker

●投稿日　：2020/11/18

●セキュリティリスク　： Critical

●脆弱性　：Unsupported

==概要==

セキュリティチームは、このプロジェクトをサポート対象外とマークしています。プロジェクトには、メンテナーによって修正されていない既知のセキュリティ問題があります。

このモジュールが統合されているサードパーティのサービスは廃止された可能性があります。

2020/11/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Media: oEmbed

●投稿日　：2020/11/18

●セキュリティリスク　： Critical

●脆弱性　：Remote Code Execution

==概要==

Media oEmbedは、SA-CORE-2020-012で説明されているように、特定のファイル名を適切にサニタイズしません。

2020/11/18(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。

インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：Examples for Developers

●投稿日　：2020/11/18

●セキュリティリスク　： Critical

●脆弱性　：Remote Code Execution

==概要==

Examplesプロジェクト内のFileExampleサブモジュールは、 SA-CORE-2020-012 で説明されているように、他の関連する脆弱性とともに特定のファイル名を適切にサニタイズしません。

したがって、FileExampleは、ファイルセキュリティのベストプラクティスを示すバージョンが将来追加されるまで、Exampleから削除されます。