日本時間2026/6/18、Flag attendance fieldにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Flag attendance field
●投稿日　：2026/6/18 JST
●セキュリティリスク　：Critical
●脆弱性　：PHP object injection
●対象バージョン　： <1.2

==概要==

Flag attendance fieldモジュールは、Flagモジュールを利用して出席情報を追加できるようにするモジュールです。

flag_attendance_fieldは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

この脆弱性は、攻撃者がflag_attendance_fieldフィールドを含むコンテンツエンティティを編集する権限を持っている場合にのみ影響します。さらに、この脆弱性が悪用されるには、DrupalコアのJSON:APIモジュールが有効化されており、デフォルトでは無効となっている「Accept all JSON:API create, read, update, and delete operations」オプションが有効になっている、あるいは攻撃者がフィールドの値を直接編集できる別の手段を持っている必要があります。

==解決方法==

最新バージョンをインストールしてください。

Flag attendance fieldモジュールを利用している場合は Flag attendance field 8.x-1.2 にアップデートしてください。

==元記事==

https://www.drupal.org/sa-contrib-2026-049