2025/4/9 (日本時間：GMT+9)、ECA: Event - Condition - Actionにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：ECA: Event - Condition - Action
●投稿日　：2025/4/9
●セキュリティリスク　：Critical
●脆弱性　：Cross site request forgery
●対象バージョン　：<1.1.12 || >=2.0.0 <2.0.16 || >=2.1.0 <2.1.7 || 1.2.*

==概要== 
このモジュールを使用すると、Drupalサイト上で自動化を定義することができます。 

このモジュールは特定のルートに対するCSRF攻撃への保護が十分ではありません。

この脆弱性は、攻撃者が特定のサイトにアクセスするために「administer eca」の権限を持つユーザーを入手しなければならないという事実によって緩和されます。また、「eca_ui」サブモジュールを無効にすることで、ECAの機能はそのまま残りますが脆弱なルートは利用できなくなります。

==解決方法==
最新バージョンをインストールしてください。 

Drupal 10または11でECAモジュールを使用している場合はECA 1.1.12、ECA 2.0.16、またはECA 2.1.7にアップグレードしてください。

==元記事==
https://www.drupal.org/sa-contrib-2025-031