日本時間2026/6/18、Plotly.js Graphingにおいて脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Plotly.js Graphing
●投稿日　：2026/6/18 JST
●セキュリティリスク　：Critical
●脆弱性　：PHP object injection
●対象バージョン　： <3.0.2

==概要==

Plotly.js Graphingモジュールは、オープンソースのグラフ描画ライブラリであるPlotly.jsを、柔軟にカスタマイズして利用できる機能を提供します。

このモジュールは、一部のデータをPHPのシリアライズ形式の文字列として保存します。特定の状況下では、悪意のあるデータをこのフィールドへ直接書き込むことが可能です。その結果、データがアンシリアライズされる際にオブジェクトインジェクションの脆弱性につながる可能性があります。

この脆弱性は、攻撃者がplotly_js_graphフィールドを含むコンテンツエンティティを編集する権限を持っている場合にのみ影響します。さらに、この脆弱性が悪用されるには、DrupalコアのJSON:APIモジュールが有効化されており、デフォルトでは無効となっている「Accept all JSON:API create, read, update, and delete operations」オプションが有効になっている、あるいは攻撃者がフィールドの値を直接編集できる別の手段を持っている必要があります。

==解決方法==

最新バージョンをインストールしてください。

Plotly.js Graphingモジュールを利用している場合は plotly_js-3.0.2 にアップデートしてください。

==元記事==

https://www.drupal.org/sa-contrib-2026-050