セキュリティ情報

Disable Login Page - Critical - Access bypass - SA-CONTRIB-2025-124

Critical
拡張モジュール

2025/12/3 (日本時間:GMT+9)、Disable Login Pageにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Disable Login Page
●投稿日 :2025/12/3
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<1.1.3
 

Next.js - Critical - Access bypass - SA-CONTRIB-2025-122

Critical
拡張モジュール

2025/12/3 (日本時間:GMT+9)、Next.jsにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Next.js
●投稿日 :2025/12/3
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<1.6.4 || >=2.0.0 <2.0.1
 

Simple OAuth (OAuth2) & OpenID Connect - Critical - Access bypass - SA-CONTRIB-2025-114

Critical
拡張モジュール

2025/10/29 (日本時間:GMT+9)、Simple OAuth (OAuth2) & OpenID Connectにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Simple OAuth (OAuth2) & OpenID Connect
●投稿日 :2025/10/29
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>=6.0.0 <6.0.7
 

JSON Field - Critical - Cross Site Scripting - SA-CONTRIB-2025-106

Critical
拡張モジュール

2025/9/24 (日本時間:GMT+9)、JSON Fieldにおいて脆弱性が発表されました。

お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :JSON Field
●投稿日 :2025/9/24
●セキュリティリスク :Critical
●脆弱性 :Cross Site Scripting

==概要== 
このモジュールは、オプションのサードパーティ製ライブラリを使用してJSONデータを保存・表示することを可能にします。

このモジュールは組み込みのフィールドフォーマッタの一部を使用してデータを十分にフィルタリングしないため、クロスサイトスクリプティング(XSS)の脆弱性が生じます。 
 

Owl Carousel 2 - Critical - Unsupported - SA-CONTRIB-2025-104

Critical
拡張モジュール

2025/8/27 (日本時間:GMT+9)、Owl Carousel 2において脆弱性が発表されました。


●プロジェクト :Owl Carousel 2
●投稿日 :2025/8/27
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

API Key manager - Critical - Unsupported - SA-CONTRIB-2025-103

Critical
拡張モジュール

2025/8/27 (日本時間:GMT+9)、API Key managerにおいて脆弱性が発表されました。


●プロジェクト :API Key manager
●投稿日 :2025/8/27
●セキュリティリスク :Critical
●脆弱性 :Unsupported

==概要== 
セキュリティチームはこのプロジェクトをサポート対象外としています。
このプロジェクトにはメンテナーによって修正されていない既知のセキュリティ問題があります。このプロジェクトのメンテナンスを希望する場合は、次の文書をお読みください。
https://www.drupal.org/node/251466#procedure---own-project---unsupported

Synchronize composer.json With Contrib Modules - Critical - Unsupported - SA-CONTRIB-2025-102

Critical
拡張モジュール

2025/8/27 (日本時間:GMT+9)、Synchronize composer.json With Contrib Modulesにおいて脆弱性が発表されました。


●プロジェクト :Synchronize composer.json With Contrib Modules
●投稿日 :2025/8/27
●セキュリティリスク :Critical
●脆弱性 :Unsupported

Authenticator Login - Highly critical - Access bypass - SA-CONTRIB-2025-096

Highly Critical
拡張モジュール

2025/8/13 (日本時間:GMT+9)、Authenticator Loginにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Authenticator Login
●投稿日 :2025/8/13
●セキュリティリスク :Highly Critical
●脆弱性 :Access bypass
●対象バージョン :<2.1.4
 

Mail Login - Critical - Access bypass - SA-CONTRIB-2025-088

Critical
拡張モジュール

2025/7/9 (日本時間:GMT+9)、Mail Loginにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Mail Login
●投稿日 :2025/7/9
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :>3.0.0 <3.2.0 || >=4.0.0 <4.2.0
 

==概要== 
このモジュールは、最小限の設定でユーザーがメールアドレスでログインできるようにします。

このモジュールには、ログインフォームに対するブルートフォース攻撃への保護機能が一部組み込まれていましたが、これらの機能は不完全でした。攻撃者はブルートフォース保護を回避しアカウントへのアクセスを不正に取得する可能性があります。
 

Config Pages Viewer - Critical - Access bypass - SA-CONTRIB-2025-086

Critical
拡張モジュール

2025/7/2 (日本時間:GMT+9)、Config Pages Viewerにおいて脆弱性が発表されました。


お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト :Config Pages Viewer
●投稿日 :2025/7/2
●セキュリティリスク :Critical
●脆弱性 :Access bypass
●対象バージョン :<1.0.4
 

==概要== 
このモジュールは、config_pagesをコンテンツエンティティとして使用できるようにします。

このモジュールはconfig_pagesコンテンツをレンダリングする前に権限やエンティティへのアクセス権限を確認していません。
 

セキュリティ情報 を購読