セキュリティ情報

Existing Values Autocomplete Widget - Critical - Access bypass - SA-CONTRIB-2019-060

Critical
拡張モジュール

2019/7/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Existing Values Autocomplete Widget
●投稿日 :2019/7/24
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==
このモジュールはテキストフィールドのためのオートコンプリートウィジェットをすることができます。オートコンプリートウィジェットはフィールドのすべての既存の(以前に入力された)値を提案します。

またこのモジュールは、オートコンプリート結果を返す前に適切なアクセス許可を十分に確認することができません。

この脆弱性は、攻撃者がオートコンプリートコールバックコントローラへのルートを知っているため発生します。

Facebook Messenger Customer Chat Plugin - Critical - Access bypass - SA-CONTRIB-2019-059

Critical
拡張モジュール

2019/7/24(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Facebook Messenger Customer Chat Plugin
●投稿日 :2019/7/24
●セキュリティリスク : Critical
●脆弱性 :Access bypass

==概要==

Facebook Messengerカスタマーチャットプラグインモジュールを使用すると、プラグインをDrupalサイトに追加できます。

このモジュールは管理者ページのユーザー権限を必要としません。

ImageCache Actions - Critical - Multiple Vulnerabilities - SA-CONTRIB-2019-056

Critical
拡張モジュール

2019/7/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :ImageCache Actions
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Multiple Vulnerabilities

==概要==
imagecacheアクションモジュールは、画像スタイルを作成するために使用できる画像効果を定義します。"Image styles admin"サブモジュールは、画像スタイルを複製、エクスポート、インポートするための追加機能があります。このモジュールは、unserialize()を使用して、入力を処理するときにunserialize()にセキュリティ上の問題があるサイトに画像スタイルをインポートします。

Drupal core - Critical - Access bypass - SA-CORE-2019-008

Critical
コア

2019/7/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。

●プロジェクト :Drupal core
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==

Drupal 8.7.4では、Workspacesモジュールが有効になっていると、アクセスバイパス条件が作成されます。

これはワークスペースモジュールを無効にすることで軽減できます。Drupal 8.7.4以外のリリースには影響しません。

Drupal 8.7.3以前、Drupal 8.6.x以前、およびDrupal 7.xは影響を受けません。

==解決方法==。
サイトがDrupal 8.7.4を実行している場合は、Drupal 8.7.5にアップグレードしてください。

Custom Permissions - Critical - Access bypass - SA-CONTRIB-2019-055

Critical
拡張モジュール

2019/7/10(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Custom Permissions
●投稿日 :2019/7/17
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールを使用すると、管理UIを介して追加のカスタム権限を追加および管理ができます。

モジュールはこのページへの適切なアクセス許可を十分に侵入を防げていません。

この脆弱性は、攻撃者がカスタムアクセス許可管理フォームのログイン方法知っているためです。

==解決方法==。

最新版をインストールしてください。

Easy Breadcrumb - Critical - Cross Site Scripting - SA-CONTRIB-2019-053

Critical
拡張モジュール

2019/6/19(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Easy Breadcrumb
●投稿日 :2019/6/19
●セキュリティリスク : Critical
●脆弱性 : Cross Site Scripting

==概要==
このモジュールを使用すると、現在のURL(パスエイリアス)と現在のページのタイトルを使用して、ブレッドクラムのセグメントとそれぞれのリンクを自動的に抽出し、それらをWebサイトでブレッドクラムとして表示できます。

特定の状況では、モジュールはユーザー入力を十分にサニタイズしません。

この脆弱性は権限を必要としませんが、「パンくずテキスト内のHTMLタグを許可する」設定(デフォルトで有効)のチェックを外すことで軽減できます。場合によっては、ブラウザのXSS保護機能が悪用を妨げる可能性があります。

Multiple Registration - Critical - Access bypass - SA-CONTRIB-2019-048

Critical
拡張モジュール

2019/5/15(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Multiple Registration
●投稿日 :2019/5/15
●セキュリティリスク : Critical
●脆弱性 : Access bypass

==概要==
このモジュールを使用すると、特別な役割とその役割に定義されたカスタムフィールドセットを使用したユーザー登録に特別なルートを使用できます。

ユーザーが管理者ロールでユーザーを登録しようとしたときに、モジュールはどのユーザーロールを登録できるかを十分に確認することができません。

この脆弱性は、ユーザーがブロックされた状態で起動したにもかかわらず "Administrator"ロールを取得したままアカウントの承認が必要とされるサイトで軽減されます。

TableField - Critical - Remote Code Execution - SA-CONTRIB-2019-045

Critical
拡張モジュール

2019/4/17(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :TableField
●投稿日 :2019/4/17
●セキュリティリスク : Critical
●脆弱性 : Remote Code Execution

==概要==
このモジュールを使用すると、表形式のデータをエンティティに添付することができます。

このモジュールは、ユーザーがCSVエクスポートを要求したときに、シリアル化されていないデータがテーブルフィールドの内容であると、オブジェクトインジェクションによるリモートコード実行につながる可能性があります。
この脆弱性は、攻撃者が「テーブルフィールドのエクスポート」権限を持ち、エンティティのフィールドにペイロードを挿入できるという役割を持たなければなりません。

RESTful - Critical - Remote code execution - SA-CONTRIB-2019-041

Critical
拡張モジュール

2019/3/20(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :RESTful
●バージョン :7.x-2.x-dev,7.x-1.x-dev
●投稿日 :2019/3/20
●セキュリティリスク : Critical
●脆弱性 : Remote Code Execution

==概要==
これにより、このモジュールに関するSA-CORE-2019-003で説明されている問題が解決されます。

Video - Critical - Remote Code Execution - SA-CONTRIB-2019-037

Critical
拡張モジュール

2019/3/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト :Video
●投稿日 :2019/3/13
●セキュリティリスク : Critical
●脆弱性 : Remote Code Execution

==概要==
このモジュールは編集者がビデオにコンテンツを追加できるフィールドを提供し、ビデオを異なるサイズやフォーマットにトランスコードするための機能を提供します。

このモジュールはアドミニストラティブフォームへのユーザーからのインプットを十分にサニタイズしないことがあります。