2025/4/9 (日本時間：GMT+9)、Panelsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Panels
●投稿日　：2025/4/9
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<4.9.0

==概要== 
Panelsでは管理者は、ページマネージャーやPanelizerなどを使ってページのバリアントを追加し、カスタムページを作成することができます。

このモジュールは機密性の高いルートを十分に保護していないため、攻撃者は適切な権限を必要とせずに、バリアント内のブロックを閲覧したり変更したりすることができます。

この脆弱性は、攻撃者がバリアントと基本ページのマシン名を知っている必要があるという事実によって緩和されます。それらの情報はページのソースコード内には存在していません。さらに、複雑なブロックは権限不足によるエラーを発生させるため、追加または編集できるのは単純なブロックのみです。

==解決方法==
最新バージョンをインストールしてください。 

Drupal 8.xでPanelsモジュールを使用している場合はPanels 8.x-4.9にアップグレードしてください。

==元記事==
https://www.drupal.org/sa-contrib-2025-033