2026/4/15 (日本時間：GMT+9)、Drupal coreにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2026/4/15
●セキュリティリスク　：Critical
●脆弱性　：Cross-site scripting
●対象バージョン　：>= 8.0.0 < 10.5.9 || >= 10.6.0 < 10.6.7 || >= 11.0.0 < 11.2.11 || >= 11.3.0 < 11.3.7
 

==概要== 
DrupalコアのAJAXモーダルダイアログボックス向けjQuery統合機能では、特定のオプションに対して十分なサニタイズが行われていないため、クロスサイトスクリプティング（XSS）の脆弱性が生じる可能性があります。
 

==解決方法==
最新バージョンをインストールしてください。

Drupal 10.5.xを使用している場合、Drupal 10.5.9にアップデートしてください。
Drupal 10.6.xを使用している場合、Drupal 10.6.7にアップデートしてください。
Drupal 11.2.xを使用している場合、Drupal 11.2.11にアップデートしてください。
Drupal 11.3.xを使用している場合、Drupal 11.3.7にアップデートしてください。

Drupal 11.1.x、Drupal 11.0.x、Drupal 10.4.x およびそれ以前のバージョンはサポート終了となっており、セキュリティサポートの対象外です。（Drupal 8 および Drupal 9 は、いずれもサポート終了となっています。） 
 

==元記事==
https://www.drupal.org/sa-core-2026-001