2025/10/29 (日本時間：GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Simple OAuth (OAuth2) & OpenID Connect
●投稿日　：2025/10/29
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=6.0.0 <6.0.7
 

==概要== 
このモジュールはOAuth 2.0認可サーバーを提供しており、それを設定することで、アクセストークンでDrupalインスタンスを保護したり、クライアントが新しいアクセストークンの要求や更新を行えるように設定できます。

このモジュールは付与されたスコープを十分に参照しておらず、このことはロールに基づくすべてのアクセスチェックに影響を及ぼします。例えば、_role要件を持つルートは、アクセストークンを使用することで回避される可能性があります。

この脆弱性は、攻撃者がアクセストークンを所持している必要があり、かつトークンに関連するユーザーに（ロール要件として）関連するロールが割り当てられている必要があるという事実によって緩和されます。

更新：この脆弱性は6.0.0リリースに存在しており、6.0.7では修正されたため、対象バージョン欄がアップデートされました。このアドバイザリの以前のバージョンでは、6.0.0以外のバージョンも影響を受けると誤って記載されていました。
 

==解決方法==
最新バージョンをインストールしてください。
DrupalでSimple OAuth (OAuth2) & OpenID Connectモジュールを使用している場合は、Simple OAuth (OAuth2) & OpenID Connect 6.0.7にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2025-114