2026/1/14 (日本時間：GMT+9)、Microsoft Entra ID SSO Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Microsoft Entra ID SSO Login
●投稿日　：2026/1/14
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.0.4
 

==概要== 
このモジュールは、DrupalサイトがOAuth 2.0を使用してMicrosoft Entra ID（旧Azure AD）経由でユーザーを認証することを可能にします。

このモジュールはMicrosoftからのAPI応答を十分に検証していないため、対象ユーザーの認証情報やメールアカウントへのアクセス権限なしに、サイト管理者を含む任意のユーザーアカウントを完全に乗っ取ることが可能です。
 

==解決方法==

1. Microsoft Entra ID SSO Loginを使用している場合は、モジュールの最新版Microsoft Entra ID SSO Login 2.0.0（または Microsoft Entra ID SSO Login 1.0.4）にアップデートしてください。
2. モジュールの新しいリリースで設定を更新する方法については、リリースノートとモジュールのドキュメントを確認してください。
3. サイト管理者は、アップデート後にセキュリティ設定を確認し、追加の保護策として「ユーザー1のブロック」および「管理者ロールのブロック」オプションの有効化を検討してください。

==元記事==
https://www.drupal.org/sa-contrib-2026-005