日本時間2026/5/28、Drupal AlternativeCommerce (Basket)における脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Drupal AlternativeCommerce (Basket)
●投稿日　：2026/5/28 JST
●セキュリティリスク　：Highly Critical
●脆弱性　：Arbitrary PHP code execution
●対象バージョン　：<2.1.17
 

==概要==
Basketモジュールを使うと、Drupalサイトでeコマースおよびチェックアウト機能を追加できるようになります。

このモジュールは現在、ユーザーから提供されたデータをPHP のunserialize()に渡す前に十分にサニタイズしていません。

攻撃者は、細工したペイロードを送信することでPHP Object Injectionを引き起こす可能性があります。サイトのコードベースまたはインストール済みの依存ライブラリ内に悪用可能なガジェットチェーンが存在する場合、任意のPHPコード実行につながる可能性があります。
 

==解決方法==
最新バージョンをインストールしてください。

Basketモジュールを使用している場合、Basket 2.1.17にアップグレードしてください。
 

==元記事==
https://www.drupal.org/sa-contrib-2026-038