2021/5/12(日本時間:GMT+9)、Gutenbergにおいて脆弱性が発見されました。
インストールしているGutenbergバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Gutenberg
●投稿日 :2021/5/12
●セキュリティリスク :Critical
●脆弱性 :Access bypass
==概要==
このモジュールは、GutenbergEditorライブラリを使用してノードを編集するための、新しいUIエクスペリエンスを提供します。
モジュールは、匿名ユーザーがブロックを削除できる、特定の状況でアクセスルールを正しくバリデートしませんでした。
2021/4/21(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2021/4/21
●セキュリティリスク :Critical
●脆弱性 :Cross-site scripting
==概要==
DrupalコアのサニタイズAPIは、特定の状況下でクロスサイトスクリプティングを適切にフィルタリングできません。
すべてのサイトとユーザーが影響を受けるわけではありませんが、エクスプロイトを防ぐための構成変更は非現実的であり、サイト間で異なります。したがって、すべてのサイトをできるだけ早くこのリリースに更新することをお勧めします。
2021/1/20(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2021/1/20
●セキュリティリスク : Critical
●脆弱性 :Third-party libraries
==概要==
Drupalプロジェクトは、Drupalに影響を与えるセキュリティアップデートをリリースしたpearArchive_Tarライブラリを使用しています。
詳細については、以下を参照してください。
2020/11/25(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/11/25
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
●CVE IDs :CVE-2020-28949
CVE-2020-28948
==概要==
Drupalプロジェクトは、PEARArchive_Tarライブラリを使用しています。 PEAR Archive_Tarライブラリが、Drupalに影響を与えるセキュリティアップデートをリリースしました。詳細については、以下を参照してください。
2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :SAML SP 2.0 Single Sign On (SSO) - SAML Service Provider
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Access bypass
==概要==
このモジュールを使用すると、SAML2.0準拠のIDプロバイダーに常駐しているユーザーが、DrupalWebサイトにログインできます。
モジュールには2つの認証バイパスの脆弱性があります。
2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Ink Filepicker
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Unsupported
==概要==
セキュリティチームは、このプロジェクトをサポート対象外とマークしています。プロジェクトには、メンテナーによって修正されていない既知のセキュリティ問題があります。
このモジュールが統合されているサードパーティのサービスは廃止された可能性があります。
2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Media: oEmbed
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote Code Execution
==概要==
Media oEmbedは、SA-CORE-2020-012で説明されているように、特定のファイル名を適切にサニタイズしません。
2020/11/18(日本時間:GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。
●プロジェクト :Examples for Developers
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote Code Execution
==概要==
Examplesプロジェクト内のFileExampleサブモジュールは、 SA-CORE-2020-012 で説明されているように、他の関連する脆弱性とともに特定のファイル名を適切にサニタイズしません。
したがって、FileExampleは、ファイルセキュリティのベストプラクティスを示すバージョンが将来追加されるまで、Exampleから削除されます。
2020/11/18(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/11/18
●セキュリティリスク : Critical
●脆弱性 :Remote code execution
==概要==
11月18日更新:危険なファイル拡張子のより長いリストを文書化。
Drupalコアは、アップロードされたファイルの特定のファイル名を適切にサニタイズしません。これにより、ファイルが誤った拡張子として解釈され、誤ったMIMEタイプとして機能したり、特定のホスティング構成でPHPとして実行されたりする可能性があります。
2020/9/16(日本時間:GMT+9)、Drupalコアにおいて脆弱性が発見されました。
インストールしているDrupalバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Drupal core
●投稿日 :2020/9/16
●セキュリティリスク : Critical
●脆弱性 :Cross-site scripting
==概要==
Drupal 8および9には、特定の状況下でクロスサイトスクリプティングの脆弱性 (XSS) があります。
攻撃者は、脆弱性を悪用するために影響を受けるフォームに対してHTMLをレンダリングする方法を利用する可能性があります。
