2026/1/14 (日本時間：GMT+9)、Microsoft Entra ID SSO Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Microsoft Entra ID SSO Login
●投稿日　：2026/1/14
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.0.4
 

==概要== 
このモジュールは、DrupalサイトがOAuth 2.0を使用してMicrosoft Entra ID（旧Azure AD）経由でユーザーを認証することを可能にします。

このモジュールはMicrosoftからのAPI応答を十分に検証していないため、対象ユーザーの認証情報やメールアカウントへのアクセス権限なしに、サイト管理者を含む任意のユーザーアカウントを完全に乗っ取ることが可能です。
 

==解決方法==

2025/12/3 (日本時間：GMT+9)、Disable Login Pageにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Disable Login Page
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.1.3
 

2025/12/3 (日本時間：GMT+9)、Next.jsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Next.js
●投稿日　：2025/12/3
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.6.4 || >=2.0.0 <2.0.1
 

2025/10/29 (日本時間：GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Simple OAuth (OAuth2) & OpenID Connect
●投稿日　：2025/10/29
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>=6.0.0 <6.0.7
 

2025/9/24 (日本時間：GMT+9)、JSON Fieldにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：JSON Field
●投稿日　：2025/9/24
●セキュリティリスク　：Critical
●脆弱性　：Cross Site Scripting

==概要== 
このモジュールは、オプションのサードパーティ製ライブラリを使用してJSONデータを保存・表示することを可能にします。

このモジュールは組み込みのフィールドフォーマッタの一部を使用してデータを十分にフィルタリングしないため、クロスサイトスクリプティング（XSS）の脆弱性が生じます。 
 

2025/8/27 (日本時間：GMT+9)、Owl Carousel 2において脆弱性が発表されました。


●プロジェクト　：Owl Carousel 2
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/8/27 (日本時間：GMT+9)、API Key managerにおいて脆弱性が発表されました。


●プロジェクト　：API Key manager
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

2025/8/27 (日本時間：GMT+9)、Synchronize composer.json With Contrib Modulesにおいて脆弱性が発表されました。


●プロジェクト　：Synchronize composer.json With Contrib Modules
●投稿日　：2025/8/27
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

2025/8/13 (日本時間：GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Authenticator Login
●投稿日　：2025/8/13
●セキュリティリスク　：Highly Critical
●脆弱性　：Access bypass
●対象バージョン　：<2.1.4
 

2025/7/9 (日本時間：GMT+9)、Mail Loginにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Mail Login
●投稿日　：2025/7/9
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：>3.0.0 <3.2.0 || >=4.0.0 <4.2.0
 

==概要== 
このモジュールは、最小限の設定でユーザーがメールアドレスでログインできるようにします。

このモジュールには、ログインフォームに対するブルートフォース攻撃への保護機能が一部組み込まれていましたが、これらの機能は不完全でした。攻撃者はブルートフォース保護を回避しアカウントへのアクセスを不正に取得する可能性があります。