日本時間2026/6/18、Formatter Fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Formatter Field
●投稿日　：2026/6/18 JST
●セキュリティリスク　：Critical
●脆弱性　：PHP object injection
●対象バージョン　： <2.0.0

==概要==

Formatter Fieldモジュールは、フィールドの表示に使用するフォーマッターおよびフォーマッター設定をエンティティごとに指定できる仕組みを提供します。

formatter_fieldは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

この脆弱性は、攻撃者がformatter_fieldフィールドを含むコンテンツエンティティを編集する権限を持っている場合にのみ影響します。さらに、この脆弱性が悪用されるには、DrupalコアのJSON:APIモジュールが有効化されており、デフォルトでは無効となっている「Accept all JSON:API create, read, update, and delete operations」オプションが有効になっている、あるいは攻撃者がフィールドの値を直接編集できる別の手段を持っている必要があります。

==解決方法==

最新バージョンをインストールしてください。

Formatter Fieldモジュールを利用している場合は Formatter Field 2.0.0 にアップデートしてください。

==元記事==

https://www.drupal.org/sa-contrib-2026-048