2020/11/18(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote code execution
==概要==
11月18日更新:危険なファイル拡張子のより長いリストを文書化。
Drupalコアは、アップロードされたファイルの特定のファイル名を適切にサニタイズしません。これにより、ファイルが誤った拡張子として解釈され、誤ったMIMEタイプとして機能したり、特定のホスティング構成でPHPとして実行されたりする可能性があります。
2020/9/16(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/9/16
●セキュリティリスク : Critical
●脆弱性 :Cross-site scripting
==概要==
Drupal 8および9には、特定の状況下でクロスサイトスクリプティングの脆弱性 (XSS) があります。
攻撃者は、脆弱性を悪用するために影響を受けるフォームに対してHTMLをレンダリングする方法を利用する可能性があります。
2020/7/29(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Group
●バージョン :8.x-1.x-dev
●投稿日 :2020/7/29
●セキュリティリスク : Critical
●脆弱性 : Information Disclosure
==概要==
このモジュールを使用すると、Webサイトの小さなサブセット、セクション、またはコミュニティに権限を配布できます。
このモジュールはノードグラントシステムを利用していましたが、最近の8.x-1.0リリースではこれをオフにし、ノードだけでなくすべてのエンティティタイプで動作するシステムを採用しました。そうすることで、いくつかの通常のノードアクセスチェックは、ノードグラントシステムが動作する方法により、ニュートラルから許可されたものに変わりました。
2020/7/22(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Modal Form
●投稿日 :2020/7/22
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
Modal Formモジュールは、モーダルウィンドウでフォームをすばやく使用するためのツールセットです。
modal_formモジュールがインストールされている場合、任意のフォームを表示および送信できます。唯一の要件は、フォームのfully-qualifiedクラス名を知ることです。
2020/6/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/6/17
●セキュリティリスク : Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
Drupal 8および9には、特定の状況下でリモートでコードが実行される脆弱性があります。
攻撃者は、管理者をだまして悪意のあるサイトにアクセスさせ、ファイルシステム上に慎重に名前が付けられたディレクトリを作成する可能性があります。 このディレクトリが配置されている場合、攻撃者はリモートコード実行の脆弱性を総当たり攻撃する可能性があります。
Windowsサーバーが影響を受ける可能性が最も高いです。
==解決方法==
最新バージョンをインストールしましょう。
2020/6/17(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/6/17
●セキュリティリスク : Critical
●脆弱性 :Cross Site Request Forgery
==概要==
DrupalコアのDormAPIは、クロスサイトリクエストからの特定のフォーム入力を適切に処理しておらず、他の脆弱性につながる可能性があります。
2020/5/27(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Password Reset Landing Page (PRLP)
●投稿日 :2020/5/27
●セキュリティリスク : Highly Critical
●脆弱性 :Access bypass
==概要==
このモジュールを使用すると、パスワードリセットリンクを使用しパスワードを強制的に更新できます。
このモジュールはログインURLを十分に検証していないため、悪意のあるユーザが特別に細工された URL を使って別のユーザとしてログインすることができます。
2020/5/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :reCAPTCHA v3
●投稿日 :2020/5/13
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
reCaptcha v3モジュールはGoogle reCaptcha V3を使ってフォームを保護することを可能にします。
reCaptcha v3のchallengeが成功すると、他のすべてのフォーム検証がバイパスされます。
これにより、攻撃者は無効なフォームや不完全なフォームを送信することが可能になります。
この脆弱性は、reCaptcha v3で保護されており、サーバー側の検証ステップ(必須フィールドやカスタム検証機能など)を持つフォームにのみ影響を与えます。
2020/5/13(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Webform
●投稿日 :2020/5/13
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
このWebformモジュールは 'Term checkboxes' 要素を作成します。
このモジュールは 'Term checkboxes' 要素をレンダリングする際に、用語の 'view' アクセスを十分にチェックしていません。
未公開の用語は常に 'Term checkboxes' 要素に表示されます。
2020/5/6(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Webform
●投稿日 :2020/5/6
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
このWebフォームモジュールを使用すると、「Term select」および「Term checkboxes」要素を作成できます。
モジュールは、「Term select」および「Term checkboxes」要素をレンダリングするときに、「view」アクセスを十分にチェックしません。
未公開の用語は、「Term select」および「Term checkboxes」要素に常に表示されます。
