日本時間2026/6/11、Brute force attack protectionにおいて脆弱性が発表されました。対象モジュールを使用している場合は対応をおすすめします。

●プロジェクト　：Brute force attack protection
●投稿日　：2026/6/11 JST
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

日本時間2026/6/11、Composerモジュールにおいて脆弱性が発表されました。対象モジュールを使用している場合は対応をおすすめします。

●プロジェクト　：Composer
●投稿日　：2026/6/11 JST
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

日本時間2026/6/11、Mother May Iにおいて脆弱性が発表されました。対象モジュールを使用している場合は対応をおすすめします。

●プロジェクト　：Mother May I
●投稿日　：2026/6/11 JST
●セキュリティリスク　：Critical
●脆弱性　：Unsupported

日本時間2026/5/28、Drupal AlternativeCommerce (Basket)における脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Drupal AlternativeCommerce (Basket)
●投稿日　：2026/5/28 JST
●セキュリティリスク　：Highly Critical
●脆弱性　：Arbitrary PHP code execution
●対象バージョン　：<2.1.17
 

==概要==
Basketモジュールを使うと、Drupalサイトでeコマースおよびチェックアウト機能を追加できるようになります。

このモジュールは現在、ユーザーから提供されたデータをPHP のunserialize()に渡す前に十分にサニタイズしていません。

2026/5/20 (日本時間：GMT+9)、Drupalコアにおける脆弱性が発表されました。
お使いのバージョンを確認の上、対応をおすすめします。

●プロジェクト　：Drupalコア
●投稿日　：2026/5/20
●セキュリティリスク　：Highly Critical
●脆弱性　：SQL injection
●対象バージョン　：>= 8.9.0 < 10.4.10 || >= 10.5.0 < 10.5.10 || >= 10.6.0 < 10.6.9 || >= 11.0.0 < 11.1.10 || >= 11.2.0 < 11.2.12 || >= 11.3.0 < 11.3.10
 

==概要== 
Drupalコアには、データベースに対して実行されるクエリをサニタイズし、SQLインジェクション攻撃を防ぐためのデータベース抽象化APIが含まれています。

2026/5/19（JST）、Drupalコアにおける脆弱性情報が発表されました。
詳細を確認のうえ、対応をおすすめします。

●プロジェクト　：Drupalコア
●投稿日　：2026/5/19 JST
●セキュリティリスク　：Highly Critical
●脆弱性　：未公開（2026/5/21 JST 公開予定）
 

==概要== 
日本時間2026年5月21日2:00〜6:00の間に、サポート対象となっているすべてのDrupalコアブランチ向けのセキュリティリリースが公開されます。Drupalセキュリティチームは、この時間帯にコアのアップデート作業時間を確保することを強く推奨しています。エクスプロイトは数時間から数日で開発される可能性があります。

すべての構成が影響を受けるわけではありません。セキュリティリリースの時間帯には、対象サイトが影響を受けるかどうか、および緊急アップデートが必要かどうかを確認するための時間を確保してください。回避策に関する情報はアドバイザリに含まれる予定です。

2026/5/13 (日本時間：GMT+9)、Date iCalにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Date iCal
●投稿日　：2026/5/13
●セキュリティリスク　：Critical
●脆弱性　：Information disclosure
●対象バージョン　：<4.0.15
 

==概要== 
このモジュールはエンティティの日付フィールドをiCalフィードとしてエクスポートできるようにします。
このモジュールでは、iCalフィードを生成する際に、エンティティやフィールドへのアクセス権限の確認、およびユーザー入力のサニタイズが十分に行われていません。
この脆弱性はいかなる権限設定によっても影響範囲が限定されません。該当ルートには、すべての匿名ユーザーが特別な設定をせずにアクセス可能です。
 

2026/4/15 (日本時間：GMT+9)、Drupal coreにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Drupal core
●投稿日　：2026/4/15
●セキュリティリスク　：Critical
●脆弱性　：Cross-site scripting
●対象バージョン　：>= 8.0.0 < 10.5.9 || >= 10.6.0 < 10.6.7 || >= 11.0.0 < 11.2.11 || >= 11.3.0 < 11.3.7
 

==概要== 
DrupalコアのAJAXモーダルダイアログボックス向けjQuery統合機能では、特定のオプションに対して十分なサニタイズが行われていないため、クロスサイトスクリプティング（XSS）の脆弱性が生じる可能性があります。
 

2026/4/1 (日本時間：GMT+9)、SAML SSO - Service Providerにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　： SAML SSO - Service Provider
●投稿日　：2026/4/1
●セキュリティリスク　：Critical
●脆弱性　：Authentication bypass
●対象バージョン　：<3.1.4
 

==概要== 
このモジュールは、SAMLプロトコルに基づくシングルサインオン（SSO）をDrupalサイトで利用できるようにします。

しかしこのモジュールはアクセス制御が十分ではなく、認証回避の脆弱性が発生しています。
 

2026/3/12 (日本時間：GMT+9)、Unpublished Node Permissionsにおいて脆弱性が発表されました。
お使いのバージョンを確認のうえ、対応をおすすめします。

●プロジェクト　：Unpublished Node Permissions
●投稿日　：2026/3/12
●セキュリティリスク　：Critical
●脆弱性　：Access bypass
●対象バージョン　：<1.7.0
 

==概要== 
このモジュールは、ノードコンテンツタイプごとに権限を作成し、コンテンツタイプごとに未公開ノードへのアクセスを制御します。

このモジュールは未公開の翻訳済みノードへのアクセス制御を一貫して行っていません。