2020/4/15(日本時間：GMT+9)、拡張モジュールにおいて脆弱性が発見されました。
インストールしているDrupalの導入モジュールを確認のうえ、必要な場合はアップデートをおすすめします。

●プロジェクト　：JSON:API
●投稿日　：2020/4/15
●セキュリティリスク　： Critical
●脆弱性　：Unsupported

==概要==
このモジュールにより、JSON APIに準拠し、Drupalコンテンツおよびコンフィギュレーションエンティティへのアクセスと操作が可能な APIを提供するものです。

セキュリティーチームとモジュールの保守管理者は、本プロジェクトをサポートの対象外にすることを決定しました。
バージョン 8.x-1.xおよび 8.x-2.xの両方がサポートの対象外となりますので、ユーザーの皆さんは Drupal core のサポート版（これには、JSON:APIのサポート版が含まれています）にアップグレードすることをおすすめします。

JSON:API 拡張モジュールに対するセキュリティーがやがて解除されることは、2018年6月28日の JSON:API 8.x-1.22の公開時に発表されていました。

さらに、本プロジェクトの 8.x-1.xには既知のセキュリティー問題があり、これは保守管理者によって修正されることはありません。
この問題は、本プロジェクトの 8.x-2.xには存在せず、Drupal coreにもありません。

==解決方法==
このモジュールのユーザーは、Drupal coreのサポート版（JSON:API のサポート版とともに配布されています）にアップデートすることをすすめられています。

このモジュールの 8.x-1.xブランチからのリリースを現在サイトでお使いの場合、こちらの記述を参照して、重大な変更の修正を適用する必要があるかもしれません。

JSON:APIプロジェクトページも参照してください。

==元記事==
https://www.drupal.org/sa-contrib-2020-010