Drupalに複数のアクセスバイパスの脆弱性が確認された。影響を受けるのはDrupal core 8.x versions 8.3.7以前のバージョンで、エンティティ、REST API、Viewsにアクセスバイパスの脆弱性が存在する。
この3つのうちエンティティはUUIDがない場合や同じエンティティの異なるバージョンで異なるアクセス制限をもってる場合にエンティティが閲覧や作成、アップデート、削除される恐れがあり、重要度が5段階中2番目のCriticalとなっている。
残り二つの重要度はModerately Criticalで、viewモジュールが Ajaxを使用している際にアクセス制限しない脆弱性、REST APIを使用している場合にコメント投稿の権限がなくても認証をバイパスしてコメントが投稿可能になる脆弱性が存在する。解決策として、Drupal core 8.x versions 8.3.7が公開されており、アップデートによりこの脆弱性は解消される。
